it-swarm-tr.com

SAML 2.0'daki AudienceRestriction'ın amacı nedir?

SAML 2.0 bölüm 2.5.1.4 (sayfa 23) için temel spesifikasyonu okuduktan sonra, hala AudienceRestriction etiketinin amacını ve hangi sorunu düzeltmeye çalıştığını tam olarak anlayamıyorum.

AudienceRestriction etiketinin büyük olasılıkla yanlış yorumlaması, SP verilen bir iddianın geçerli olduğunu belirten belirli bir URI için bir tür niyet bildirimini kolaylaştırmasıdır.

Birinin (a) etiketin amacını ve (b) tipik bir kullanım senaryosu ve (c) hariç tutulması ve/veya yanlış kullanılmasıyla ilgili olası sonuçları açıklayabileceği için çok memnun olurum.

17
Christoffer

SAML 2.0 AudienceRestriction, topladığınız şeydir. Bir iddia için bir geçerlilik şartıdır. Özellikle, iddianın anlambiliminin yalnızca bu öğede URI tarafından adlandırılan bağlı taraf için geçerli olduğunu beyan eder.

Amaç, iddianın geçerli olduğu koşulları kısıtlamak ve isteğe bağlı olarak bu geçerlilikle ilgili hüküm ve koşulları sağlamaktır. Dolayısıyla, öğenin anlambilimi, güven ilişkilerinin kapsamı ve koşulları ile ilgilidir. SAML 2.0 Core, Bölüm 2.5.1.4 (PDF) :

Belirtilen kitlelerin dışındaki bir SAML güvenen taraf, bir iddiadan sonuç çıkarabilse de, SAML onaylayan taraf açıkça böyle bir tarafın doğruluğu veya güvenilirliği konusunda hiçbir beyanda bulunmaz ...

... <AudienceRestriction> öğesi, SAML'ın iddia eden tarafın, böyle bir tarafa makine ve insan tarafından okunabilir biçimde hiçbir garanti verilmediğini açıkça belirtmesine izin verir. Her durumda bir mahkemenin böyle bir garantiyi hariç tutacağına dair bir garanti olmamakla birlikte, garanti hariç tutmayı sürdürme olasılığı önemli ölçüde iyileştirilmiştir ...

Yani, bu bir kod değil, bir insan (risk yönetimi/garanti/güven) şeyidir. Yanlış kullanılırsa, modüller hata atma eğilimindedir - çoğu SP, AudienceRestriction içinde listelenmelerini bekler.

14
Mark Beadles