Sind Attribute in einer SAML-Authentifizierungsanforderung erlaubt?
https://stackoverflow.com/questions/529655
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ist es möglich, Attribute in einer SAML-Authentifizierungsanforderung zu senden?
<samlp:AuthnRequest
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="aaf23196-1773-2113-474a-fe114412ab72"
Version="2.0"
IssueInstant="2004-12-05T09:21:59Z"
AssertionConsumerServiceIndex="0"
AttributeConsumingServiceIndex="0">
<saml:Issuer>https://sp.example.com/SAML2</saml:Issuer>
<samlp:NameIDPolicy
AllowCreate="true"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>
</samlp:AuthnRequest>
Lösung
Technisch ja, es ist möglich, da AuthnRequest ein Extensions-Element enthalten kann, was alles enthalten kann - siehe der 'Kern' SAML spec : AuthnRequest (Abschnitt 3.4.1) aus RequestAbstractType (Abschnitt 3.2.1), abgeleitet, die eine optionale Erweiterungen hat. Der Sender und Empfänger müssen sich an der Syntax und Semantik der Daten auf diese Weise gesendet zustimmen.
Ich kann nicht eine ‚konventionelle‘ Art und Weise sehen, dies zu tun, da Attribute in der Regel in Assertions sind, anstatt AuthnRequests.
Andere Tipps
Es gibt einen Fall, in dem Attribut ist Teil der Auth-Anfrage zu sein. so dass wir diese Attributnamen von Anfrage bekommen Antwort Behauptung mit derselben zu konstruieren.
da Dienstanbieter die Antwort durch einen Vergleich des Attribut validiert Namen zur am Beispiel von Salesforce als Dienstleister nehmen, wo das gleiche passiert.
