При чтении документов спецификации SAMLv2 кажется, что не следует проверять значение для IssueInstant в отличие от Conditions утверждения.
IssueInstant
Conditions
Это впечатление правильное?
Спасибо и всего наилучшего, Бернхард
Правильно. В соответствии с базовой спецификацией SAML 2.0 -
Обратите внимание, что период времени, указанный необязательным NotBefore и Атрибуты NotOnOrAfter, если они присутствуют, ДОЛЖНЫ находиться в общем срок действия подтверждения, указанный элементом Атрибуты NotBefore и NotOnOrAfter. Если оба атрибута присутствуют, значение для NotBefore ДОЛЖНО быть меньше (раньше) значения для NotOnOrAfter.
Я не знаю каких-либо конкретных правил обработки для IssueInstant в явном виде.
Связанная спецификация
Вопросы безопасности и конфиденциальности для языка разметки утверждений безопасности OASIS (SAML) V2.0
сообщает ...
Сайт поставщика услуг МОЖЕТ выбрать более строгий тест на достоверность утверждений SSO, например, требовать, чтобы значение атрибута IssueInstant или AuthnInstant подтверждения находилось в течение нескольких минут с момента получения подтверждения у поставщика услуг.сайт.