http://saml.xml.org/assertions "SAML応答には複数のアサーションが含まれることがありますが、レスポンス内に単一のアサーションを持つのがより一般的です。"1つのsamlレスポンスに複数のsamlアサーションが必要な場合を使用しますか?
しかし、私は、複数のアサーションが必要な実用的なシナリオを知りたいと思います。
http://saml.xml.org/assertions "SAML応答には複数のアサーションが含まれることがありますが、レスポンス内に単一のアサーションを持つのがより一般的です。"1つのsamlレスポンスに複数のsamlアサーションが必要な場合を使用しますか?
しかし、私は、複数のアサーションが必要な実用的なシナリオを知りたいと思います。
アサーションは、アイデンティティプロバイダ(IdP)によって作成されたクレームです。 Attribute
はAttributeStatement
に含まれているので、メールアドレス、名字、姓などはAttributeStatement
のAttribute
インスタンスが単一のAssertion
に含まれます。各Assertion
はSubject
を必要とし、異なるもののために使用することができます。通常、AuthenticationStatement
およびAttributeStatement
を含むAssertion
の1つだけがAttribute
のインスタンスを含みます。
Assertion
の1つのユースケースは、Subject
に関するクレームであり、Attribute
のリストとは異なります。例えばおそらく短時間だけ信頼されるべきユーザに関するいくつかの事実は、Conditions
- >NotBefore
- >NotOnOrAfter
で定義されます。おそらく、ユーザーがIdPで短期間だけ認証されることを許可する認証メカニズムのほうが、長時間に比べてAttribute
のリストを使用できます。
Assertion
のユースケースは、SAMLResponse
hereにあります。