SAML 2.0のAuthnRequest AudienceRestriction

Question

、あなたは1で1つのログインアプリケーションを持っている場合AudienceRestriction

<saml:AudienceRestriction> 
    <saml:Audience>http://serviceprovider.com/</saml:Audience> 
</saml:AudienceRestriction> 

はおそらくのAuthnRequest

に

<?xml version="1.0" encoding="UTF-8"?> 
    <saml2p:AuthnRequest 
     xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
     xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
     xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
     AssertionConsumerServiceURL="https://serviceprovider.com/acs/web/sso/receiveSamlAuthentication" 
     Destination="http://idp.net/idp/SSOPOST/metaAlias/realm2/IDP" 
    ID="http://serviceprovider.com/acsdata/data/AcsConfiguration/821212" IssueInstant="2010-08-20T14:48:27.620Z" Version="2.0"> 
       <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">http://serviceprovider.com/</saml2:Issuer> 
.... 
    </saml2p:AuthnRequest> 

Answer 1

（SAML-プロファイル-2.0-os.pdfから：577分の566）：SAML 2.0 WebブラウザSSOプロファイルベアラ 被写体の確認を含む

アサーション（複数可） AudienceRestrictionを含まなければなりませんそれは常に、少なくとも公表されたプロファイルに準拠するためにそれらが同じである場合でなければなりませんかのように

だから、読者として サービスプロバイダの一意の識別子 を含めて、それはそうです。

Answer 2

発行者は異なるだろう場合がありますURL、および別のURLにある「実際の」アプリケーションたぶん一般的ではないかもしれませんが、ほとんど不可能です。たとえば、HTTPS経由でログイン機能を持ち、HTTP経由でアプリケーションを使用しているとします。