¿Cuál es el propósito de AudienceRestriction en SAML 2.0?

12

Después de leer la especificación básica para SAML 2.0 sección 2.5.1.4 (página 23), todavía no puedo entender completamente el propósito de la etiqueta AudienceRestriction y el problema que está intentando rectificar.

Mi interpretación, probablemente incorrecta, de la etiqueta AudienceRestriction es que facilita una especie de declaración de intención que declara para qué URI específico con el SP es válida una aseveración determinada.

Apreciaría mucho si alguien pudiera explicar (a) el propósito de la etiqueta y (b) un escenario de caso de uso típico y (c) cualquier posible implicación de su exclusión y / o mal uso.

    
pregunta Christoffer 03.04.2012 - 14:45
fuente

1 respuesta

12

SAML 2.0 AudienceRestriction es prácticamente lo que has recopilado. Es una condición de validez para una aserción. En particular, declara que la semántica de la aserción solo es válida para la parte dependiente nombrada por URI en ese elemento.

El propósito es restringir las condiciones bajo las cuales la aseveración es válida y, opcionalmente, proporcionar términos y condiciones relacionados con dicha validez. Así que la semántica del elemento tiene que ver con el alcance y las condiciones de las relaciones de confianza. De SAML 2.0 Core, Sección 2.5.1.4 (PDF) :

  

Aunque una parte de confianza de SAML que está fuera de las audiencias especificadas   es capaz de sacar conclusiones de una aserción, el SAML   afirmar parte explícitamente no hace ninguna representación en cuanto a la exactitud o   confiabilidad a tal partido ...

     

... el elemento <AudienceRestriction> permite que la parte que afirma el SAML   Estado explícitamente que no se proporciona ninguna garantía a tal parte en un   Forma legible por máquina y humano. Si bien no puede haber garantía de que   un tribunal defendería dicha garantía de exclusión en cualquier circunstancia,   La probabilidad de mantener la exclusión de garantía es   considerablemente mejorado ...

Es decir, no es una cosa del código sino una cosa humana (gestión de riesgos / garantía / confianza). Si se utiliza incorrectamente, los módulos tienden a generar errores: la mayoría de los SP esperan que se incluyan en el AudienceRestriction .

    
respondido por el Mark Beadles 03.04.2012 - 16:42
fuente

Lea otras preguntas en las etiquetas