Я оцениваю сценарий, используя протокол запроса аутентификации SAML v2 (3.4), где презентатор и запрашиваемый субъект отличаются, т. Е. Когда презентатор аутентифицируется у провайдера идентификациичтобы получить утверждения о другом предмете.
Мой вопрос: какие утверждения требуются в ответ на такой запрос и о каких предметах?
В этом сценарии <AuthnRequest> идентифицирует субъект, используя элемент <saml:Subject>. <Response> к запросу на аутентификацию содержит утверждения. С начала раздела 3.4 «Такие утверждения МОГУТ содержать дополнительные операторы любого типа, но по крайней мере одно утверждение ДОЛЖНО содержать по крайней мере один оператор аутентификации». *
В разделе «3.4.1.4 Правила обработки» я идентифицируюследующие правила для успешного ответа:
- Ответчик ДОЛЖЕН в конечном итоге ответить на
<AuthnRequest> сообщением <Response>, содержащим одно или несколько утверждений, которые соответствуют спецификациям, определенным запросом (строка 2229) - Если в запросе присутствует элемент
<saml:Subject>, то результирующие утверждения <saml:Subject> ДОЛЖНЫ строго соответствовать запросу <saml:Subject>, как описано в разделе 3.3.4 - Всесодержимое, определенное в пределах
<AuthnRequest>, является необязательным, хотя некоторые из них могут потребоваться для определенных профилей. При отсутствии какого-либо конкретного содержимого подразумевается следующее поведение: - Возвращенные утверждения ДОЛЖНЫ содержать элемент
<saml:Subject>, представляющий докладчика.
Мне кажется, что эти правила требуют, чтобы <saml:Subject> в каждом ответном утверждении было равным как запрашиваемому субъекту, так и докладчику.
Я использую «Утверждения и протоколы дляOASIS Security Assertion Markup Language (SAML) V2.0 "( saml-core-2.0-os ) в качестве моей справки.