it-swarm-id.com

Apa tujuan AudienceRestriction di SAML 2.0?

Setelah membaca spesifikasi inti untuk SAML 2.0 bagian 2.5.1.4 (halaman 23) Saya masih tidak dapat sepenuhnya memahami tujuan dari tag AudienceRestriction dan masalah apa yang berusaha diperbaiki.

Penafsiran tag AudienceRestriction saya, yang mungkin salah, adalah bahwa ia memfasilitasi semacam pernyataan niat yang menyatakan untuk URI spesifik apa dengan SP pernyataan tertentu diberikan valid.

Akan sangat menghargai jika seseorang dapat menjelaskan (a) tujuan tag dan (b) skenario kasus penggunaan yang khas dan (c) setiap implikasi potensial dari pengecualian dan/atau penyalahgunaan itu.

17
Christoffer

SAML 2.0 AudienceRestriction adalah apa yang telah Anda kumpulkan. Ini adalah kondisi validitas untuk sebuah pernyataan. Secara khusus ia menyatakan bahwa semantik pernyataan hanya valid untuk pihak yang mengandalkan nama URI dalam elemen itu.

Tujuannya adalah untuk membatasi kondisi di mana pernyataan itu valid, dan untuk secara opsional menyediakan syarat dan ketentuan yang berkaitan dengan validitas tersebut. Jadi semantik elemen harus berkaitan dengan ruang lingkup dan kondisi hubungan kepercayaan. Dari SAML 2.0 Core, Bagian 2.5.1.4 (PDF) :

Meskipun pihak yang mengandalkan SAML yang berada di luar audiensi yang ditentukan mampu menarik kesimpulan dari suatu pernyataan, pihak yang menyatakan SAML secara eksplisit tidak membuat representasi mengenai keakuratan atau kepercayaan kepada pihak tersebut ...

... elemen <AudienceRestriction> memungkinkan pihak yang menyatakan Sam untuk menyatakan secara eksplisit bahwa tidak ada jaminan yang diberikan kepada pihak tersebut dalam bentuk yang dapat dibaca oleh mesin dan manusia. Meskipun tidak ada jaminan bahwa pengadilan akan menjunjung tinggi pengecualian garansi seperti itu dalam setiap keadaan, kemungkinan menegakkan pengecualian garansi akan jauh meningkat ...

Yaitu, itu bukan hal kode tetapi hal manusia (manajemen risiko/garansi/kepercayaan). Jika itu digunakan secara tidak benar, modul-modul cenderung melontarkan kesalahan - kebanyakan SP berharap diri mereka terdaftar di AudienceRestriction.

14
Mark Beadles