0
SAML IdPに事前設定されたACS URL(たとえば、SPメタデータから来るもの)がある場合は、AuthNRequestで送信されたURLを無視する必要がありますか?IdPがどのAssertionConsumerServiceURLを使用すべきですか?
A
答えて
1
SAMLコア仕様では、IdPはAuthnRequestで指定されたACSを使用しなければならないと規定しています。また、IdPは何らかの形でACSがSPに属していることを保証しなければならないと述べています。例えば、メッセージの署名に頼ったり、ACSがメタデータに定義されているものであることなどです。スペック
AssertionConsumerServiceURL [オプション]の値によって指定 メッセージが要求者に返さなければなりませんする場所から
。レスポンダは、指定された値が実際にリクエスタと に関連付けられていることを何らかの手段で保証しなければならない(MUST)。 [SAMLMeta]は1つの可能なメカニズムを提供します。同封の メッセージに署名することは別です。
これは、IdPが署名されておらず、ACS URLが事前設定されているものと異なる場合、IdPが 'AuthNRequest'を拒否することを意味しますか?逆に、検証可能に署名された 'AuthNRequest'は検証なしでACS URLを使用できますか? – Ben
私は、検証についてのセクションでanswereを更新しました。それはどのように指定されていませんが、その理由は想像するのが簡単です。このURLがSPに属しているとわからない場合は、SP –
以外の誰かにアサーションを送信する危険があります。フルテキストには、署名されたリクエストに関するテキストも含まれています: "...応答者は、実際にはリクエスタに関連付けられています。[SAMLMeta]は1つの可能なメカニズムを提供していますが、囲んでいる ''メッセージに署名することは別です。 " –