Получатель связан с элементом Subject утверждения SAML, который касается пользователя или субъекта, для которого выполняется аутентификация, и данные этого субъекта предоставляются IdP этому конкретному получателю (SP), который может действовать на Утверждении.
Данные субъекта, такие как формат NameID, значение (уникально идентифицирует пользователя или субъекта между IdP и SP), это значение NameID в формате токена (например, токен носителя), кто является Квитанцией и действительность токена. Обычно Receipt будет конечной точкой SP, где получено утверждение.
...
<saml:Subject>
<saml:NameID
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">
3f7b3dcf-1674-4ecd-92c8-1544f346baf8
</saml:NameID>
<saml:SubjectConfirmation
Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
InResponseTo="aaf23196-1773-2113-474a-fe114412ab72"
Recipient="https://sp.example.com/SAML2/SSO/POST"
NotOnOrAfter="2004-12-05T09:27:05"/>
</saml:SubjectConfirmation>
</saml:Subject>
...
Аудитория связана с элементом Condition утверждения SAML и указывает, при каких условиях безопасности или контексте утверждение является действительным, и предоставляет некоторые условия, относящиеся к такой действительности (например, срок действия утверждения, кто может потреблять утверждение и т. д.). Как правило, Audience будет EntityID SP.
...
<saml:Conditions
NotBefore="2004-12-05T09:17:05"
NotOnOrAfter="2004-12-05T09:27:05">
<saml:AudienceRestriction>
<saml:Audience>https://sp.example.com/SAML2</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
...
Аудитория и квитанция предназначены для определенной цели в SAML Assertion, и нельзя слепо полагать, что все они будут иметь один и тот же URL-адрес SP в качестве значения. Кроме того, это зависит от реализации IdP, и IdP и SP договариваются о том, какие значения будут использоваться в элементах Audience и Receipt утверждения SAML.
person
Zeigeist
schedule
05.08.2016
