SAML 2.0 AuthnRequest АудиторияRestriction

Question

Во время AuthnRequest существует ли случай, когда AudienceRestriction

<saml:AudienceRestriction>
  <saml:Audience>http://serviceprovider.com/</saml:Audience>
</saml:AudienceRestriction>

будет отличаться от эмитента в AuthnRequest

   <?xml version="1.0" encoding="UTF-8"?>
  <saml2p:AuthnRequest 
       xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
       xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
       xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
       AssertionConsumerServiceURL="https://serviceprovider.com/acs/web/sso/receiveSamlAuthentication" 
      Destination="http://idp.net/idp/SSOPOST/metaAlias/realm2/IDP"
     ID="http://serviceprovider.com/acsdata/data/AcsConfiguration/821212" IssueInstant="2010-08-20T14:48:27.620Z" Version="2.0">
              <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">http://serviceprovider.com/</saml2:Issuer>
....
   </saml2p:AuthnRequest>

Answer 1

Профиль единого входа в веб-браузере SAML 2.0 (из saml-profile-2.0-os.pdf: 566/577):

Утверждение (я), содержащее подтверждение субъекта-носителя, ДОЛЖНО содержать AudienceRestriction.включая уникальный идентификатор поставщика услуг в качестве аудитории

Таким образом, создается впечатление, что они всегда должны быть одинаковыми, по крайней мере, соответствовать опубликованному профилю.

Answer 2

Возможно, если у вас есть одно приложение для входа по одному URL-адресу и «настоящее» приложение по другому URL-адресу? Может быть, не часто, но вряд ли невозможно; скажем, с функцией входа в систему через HTTPS и приложения через HTTP.