it-swarm-vi.com

Mục đích của AudienceRestriction trong SAML 2.0 là gì?

Đã đọc qua thông số kỹ thuật cốt lõi cho SAML 2.0, phần 2.5.1.4 (trang 23) Tôi vẫn không thể hiểu đầy đủ mục đích của thẻ AudienceRestriction và vấn đề mà nó đang cố gắng khắc phục.

Theo tôi, có lẽ không chính xác, cách giải thích của thẻ AudienceRestriction là nó tạo điều kiện cho một loại tuyên bố ý định khai báo cho URI cụ thể nào với SP một xác nhận đã cho là hợp lệ.

Sẽ rất đánh giá cao nếu ai đó có thể giải thích (a) mục đích của thẻ và (b) một kịch bản trường hợp sử dụng điển hình và (c) bất kỳ tác động tiềm năng nào của việc loại trừ và/hoặc sử dụng sai.

17
Christoffer

SAML 2.0 AudienceRestriction là khá nhiều những gì bạn đã thu thập được. Đó là một điều kiện hợp lệ cho một khẳng định. Cụ thể, nó tuyên bố rằng ngữ nghĩa của khẳng định chỉ có giá trị đối với bên dựa trên được đặt tên bởi URI trong phần tử đó.

Mục đích là để hạn chế các điều kiện theo đó khẳng định là hợp lệ và tùy ý cung cấp các điều khoản và điều kiện liên quan đến hiệu lực đó. Vì vậy, ngữ nghĩa của yếu tố phải liên quan đến phạm vi và điều kiện của các mối quan hệ tin cậy. Từ Lõi SAML 2.0, Mục 2.5.1.4 (PDF) :

Mặc dù một nhóm dựa vào SAML nằm ngoài đối tượng được chỉ định có khả năng đưa ra kết luận từ một khẳng định, nhưng bên khẳng định SAML rõ ràng không đưa ra tuyên bố nào về tính chính xác hoặc độ tin cậy đối với bên đó ...

...các <AudienceRestriction> phần tử cho phép bên xác nhận SAML tuyên bố rõ ràng rằng không có bảo hành nào được cung cấp cho một bên như vậy dưới dạng có thể đọc được bằng máy và có thể đọc được. Mặc dù không thể đảm bảo rằng một tòa án sẽ duy trì loại trừ bảo hành như vậy trong mọi trường hợp, xác suất duy trì loại trừ bảo hành được cải thiện đáng kể ...

Tức là, đó không phải là một thứ mã mà là một thứ thuộc về con người (quản lý rủi ro/bảo hành/tin cậy). Nếu nó được sử dụng không đúng các mô-đun có xu hướng ném lỗi - hầu hết các SP đều mong muốn được liệt kê trong AudienceRestriction.

14
Mark Beadles