Вы можете использовать SAML Response with Signed Assertion здесь , чтобы увидеть, что находится в типичном.
Если вы хотите, чтобы кто-то входил в ваше приложение, используя SAML, ваше приложение сначала должно убедитесь, что пользователь является тем, кем они себя называют. Это делается путем проверки SignedInfo на Response. Для этого он использует ключ publi c IdP. Ваше приложение является SP и должно знать, как найти ключ publi c Idp по его метаданным SAML. Вы можете использовать Issuer, чтобы получить entityID IdP. Затем в AudienceRestriction убедитесь, что Response предназначен для вашего приложения.
После прохождения базовой c проверки вы можете использовать AttributeStatement для создания учетной записи для пользователя. Attribute s, которые вам нужны для этого, находятся там.
Так что, по сути, это процесс, состоящий из двух частей. В первой части вы убедитесь, что Response действителен, исходит от ожидаемого IdP и предназначен для вашего приложения.
Вторая часть использует Attribute s для управления учетной записью пользователя в вашем приложении.
Существуют различные уточнения, такие как NotBefore и NotOnOrAfter для Attribute значения, но это базовые c шаги.