在SP启动的saml流中,在SAMLResponse中需要‘`InResponseTo`’在哪里?
阅读SAML核心文档,我无法找出在SP启动的SAML2.0Post重定向流中需要InResponseTo的位置(如果在任何地方)。
文档规定InResponseTo在SubjectConfirmationData中是可选的。关于InResponseTo是否应该是Response标记的一部分,文档中没有提及,尽管我的经验是,在实践中,它几乎总是存在的(我怀疑Response中的InResponseTo存在于其他我无法找到的SAML文档中)。IdP能自由决定InResponseTo值是在Response标记中还是在SubjectConfirmationData中(甚至在其他地方)?
(为了避免产生疑问,我知道InResponseTo并不是由IdP发起的响应中的SAMLResponse的一部分。)
Stack Overflow用户
发布于 2021-09-08 09:43:02
它在响应消息中是可选的,因为SAML允许IdP在SP请求的情况下向SP发送未经请求的响应。在3.2.1下,对于AuthnRequest,它声明InResponseTo必须在AuthnRequest中匹配ID。
更重要的是。当您对Web浏览器SSO使用请求和响应时,您正在使用SAML Profiles规范中的Web浏览器SSO配置文件。
配置文件增加了关于如何使用请求和响应的额外要求。
4.1.4.2 <Response> Usage态
如果包含的消息是对某个消息的响应,那么InResponseTo属性必须与请求的ID匹配。
4.1.4.3 <Response> Message Processing Rules态
验证承载中的InResponseTo属性等于其原始消息的ID,除非响应是未经请求的(见4.1.5节),在这种情况下,属性必须不存在
SAML概要规范为核心规范中协议消息的使用添加了大量重要要求,对于互操作性和安全性非常重要。
https://stackoverflow.com/questions/69098757
复制相似问题
腾讯云开发者
