Разрешены ли атрибуты в запросе аутентификации SAML?

Question

Можно ли отправлять атрибуты в запросе аутентификации SAML?

<samlp:AuthnRequest
   xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
   xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
   ID="aaf23196-1773-2113-474a-fe114412ab72"
   Version="2.0"
   IssueInstant="2004-12-05T09:21:59Z"
   AssertionConsumerServiceIndex="0"
   AttributeConsumingServiceIndex="0">
   <saml:Issuer>https://sp.example.com/SAML2</saml:Issuer>
   <samlp:NameIDPolicy
     AllowCreate="true"
     Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>
 </samlp:AuthnRequest>

Answer 1

Технически, да, это возможно, так как AuthnRequest может содержать элемент Extensions, который может содержать все что угодно - см. «базовая» спецификация SAML : AuthnRequest (раздел 3.4.1) происходит от RequestAbstractType раздел 3.2.1), который имеет дополнительные расширения. Отправитель и получатель должны будут согласовать синтаксис и семантику отправляемых таким образом данных.

Я не вижу более «традиционного» способа сделать это, поскольку атрибуты обычно находятся в утверждениях, а не в запросах AuthnRequest.

Answer 2

В некоторых случаях атрибуты должны быть частью запроса авторизации. так что мы можем получить это имя атрибута из запроса, чтобы создать утверждение ответа с тем же.

потому что поставщик услуг проверяет ответ, сравнивая имена атрибутов. Мы можем взять пример Salesforce как поставщика услуг, где происходит то же самое.