Почему запрос SAML не содержит учетных данных?

Question

Я читаю документацию о Microsoft Azure Active Directory . Вот пример запроса:

<samlp:AuthnRequest
    xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
    ID="id6c1c178c166d486687be4aaf5e482730"
    Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z"
    xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer>
</samlp:AuthnRequest>

Как вы можете видеть, это не содержит логин или пароль. Зачем? Как лазурь выяснить фактические полномочия?

Answer 1

Запрос аутентификации в SAML - это триггер, который инициирует последовательность, которая приводит к аутентификации принципала и последующему утверждению с утверждениями об этом принципале.

С SAML 2.0 spec :

Когда руководитель (или агент, действующий от имени директора) желает получить утверждения, содержащие утверждения аутентификации, чтобы установить контекст безопасности в одной или нескольких проверяющих сторонах, он может использовать протокол запроса аутентификации для отправки сообщения элемент в орган SAML и запросить, чтобы он возвратил сообщение, содержащее одно или несколько таких утверждений.