Tec*_*yst 2 metadata saml single-sign-on saml-2.0
背景:我公司作为IDP的客户担任服务提供商.我们使用OpenAM,但我们的客户使用ADFS或Shibboleth.我们交换元数据文件以建立联合,而不是URL.客户问我们为什么需要AuthnContext类模式(特别是PasswordProtectedTransport),不仅我们不知道为什么,我们不知道如何更改它或者意味着什么.
问题:在SAML2断言中对AuthnContextClassRef使用"PasswordProtectedTransport"与"unspecified"之间的功能区别是什么?
我们目前在所有客户中使用PasswordProtectedTransport,但我公司没有人能告诉我为什么要求这样做.如果我们删除它,联合会停止使用SAM错误和SAML跟踪中的"NoAuthnContext".我们也不明白这一点,因为我从saml文档中了解到,具有模式的模式对于身份验证是可选的.即便如此,我也没有看到任何使用"未指明"的含义的解释.
我无法在任何地方找到关于这个主题的任何详尽的解释或讨论,并希望有人可以为我详细说明,因为我正在努力寻找这个问题.
RequestedAuthnContext在请求中是SP要求IDP使用特定的身份验证机制对用户进行身份验证的手段.
例如,如果您PasswordProtectedTransport在请求中指定,则IDP知道必须通过SSL/TLS保护的登录/密码对用户进行身份验证.
IDP在其响应中说明了用于通过身份验证用户的机制AuthnContextClassRef.
RequestedAuthnContext在请求中是可选的,但AuthnContextClassRef在断言中是必需的,如SAML架构所指定的(因此遇到了500错误).
基本上,unspecifiedIDP使用URN说"我不想告诉你我是如何识别用户的".
作为SP,如果要确保用户使用安全机制进行身份验证,您可以选择接受该答案或拒绝该答案.
| 归档时间: |
|
| 查看次数: |
4362 次 |
| 最近记录: |