web-dev-qa-db-ja.com

SAML 2.0のAudienceRestrictionの目的は何ですか?

SAML 2.0のコア仕様のセクション2.5.1.4(23ページ)を読んでも、AudienceRestrictionタグの目的とそれが修正しようとしている問題を完全には理解できません。

AudienceRestrictionタグのおそらく正しくない解釈は、SPの特定のアサーションが有効である特定のURIを宣言する一種の意図ステートメントを容易にすることです。

誰かが(a)タグの目的と(b)典型的な使用例のシナリオ、および(c)除外および/または誤用の潜在的な影響を説明できれば非常にありがたいです。

17
Christoffer

SAML 2.0 AudienceRestrictionは、収集したものとほぼ同じです。これはアサーションの有効条件です。特に、アサーションのセマンティクスは、その要素のURIで指定された依存パーティに対してのみ有効であることを宣言します。

目的は、アサーションが有効である条件を制限し、オプションでそのような有効性に関する条件を提供することです。したがって、要素のセマンティクスは、信頼関係のスコープと条件に関係しています。から SAML 2.0コア、セクション2.5.1.4(PDF)

指定されたオーディエンスの外部にあるSAML依存パーティはアサーションから結論を引き出すことができますが、SAMLアサーティングパーティはそのようなパーティの正確性または信頼性について明示的に表明していません...

...<AudienceRestriction>要素を使用すると、SAMLアサーティングパーティは、機械的および人間が読み取れる形式で保証が提供されないことを明示することができます。裁判所があらゆる状況でそのような保証の除外を支持するという保証はありませんが、保証の除外を支持する確率はかなり改善されています...

つまり、それはコードの問題ではなく、人間の(リスク管理/保証/信頼)ものです。誤って使用すると、モジュールはエラーをスローする傾向があります-ほとんどのSPはAudienceRestrictionにリストされることを期待しています。

14
Mark Beadles