it-swarm.dev

Qual è lo scopo di AudienceRestriction in SAML 2.0?

Dopo aver letto le specifiche di base per SAML 2.0 sezione 2.5.1.4 (pagina 23) non riesco ancora a comprendere appieno lo scopo del tag AudienceRestriction e quale problema sta tentando di correggere.

La mia interpretazione, probabilmente errata, del tag AudienceRestriction è che facilita una sorta di dichiarazione di intenzione che dichiara per quale specifico URI con il SP è valida una determinata asserzione.

Gradirei molto se qualcuno potesse spiegare (a) lo scopo del tag e (b) un tipico scenario di utilizzo e (c) eventuali potenziali implicazioni della sua esclusione e/o uso improprio.

17
Christoffer

SAML 2.0 AudienceRestriction è praticamente ciò che hai raccolto. È una condizione di validità per un'affermazione. In particolare, dichiara che la semantica dell'asserzione è valida solo per la parte facente affidamento nominata dall'URI in quell'elemento.

Lo scopo è limitare le condizioni alle quali l'affermazione è valida e, facoltativamente, fornire termini e condizioni relativi a tale validità. Quindi la semantica dell'elemento ha a che fare con l'ambito e le condizioni delle relazioni di fiducia. Da SAML 2.0 Core, Sezione 2.5.1.4 (PDF) :

Sebbene una parte facente affidamento su SAML che è al di fuori del pubblico specificato sia in grado di trarre conclusioni da un'asserzione, la parte che asserisce SAML esplicitamente non rilascia alcuna dichiarazione in merito all'accuratezza o all'affidabilità di tale parte ...

...il <AudienceRestriction> L'elemento consente alla parte che asserisce SAML di dichiarare esplicitamente che non viene fornita alcuna garanzia a tale parte in una forma leggibile dalla macchina e dall'uomo. Sebbene non vi sia alcuna garanzia che un tribunale sostenga tale esclusione di garanzia in ogni circostanza, la probabilità di sostenere l'esclusione della garanzia è notevolmente migliorata ...

Cioè, non è una cosa di codice ma una cosa umana (gestione del rischio/garanzia/fiducia). Se usato in modo errato, i moduli tendono a generare errori - la maggior parte degli SP si aspetta che siano elencati in AudienceRestriction.

14
Mark Beadles