Sind Attribute in einer SAML-Authentifizierungsanfrage zulässig?

Question

Ist es möglich, Attribute in einer SAML-Authentifizierungsanfrage zu senden?

<samlp:AuthnRequest
   xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
   xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
   ID="aaf23196-1773-2113-474a-fe114412ab72"
   Version="2.0"
   IssueInstant="2004-12-05T09:21:59Z"
   AssertionConsumerServiceIndex="0"
   AttributeConsumingServiceIndex="0">
   <saml:Issuer>https://sp.example.com/SAML2</saml:Issuer>
   <samlp:NameIDPolicy
     AllowCreate="true"
     Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>
 </samlp:AuthnRequest>

Answer 1

Technisch gesehen ist dies möglich, da AuthnRequest ein Extensions-Element enthalten kann, das alles Mögliche enthalten kann - siehe die SAML-Kernspezifikation : AuthnRequest (Abschnitt 3.4.1) wird von RequestAbstractType (Abschnitt 3.2.1) abgeleitet, das eine optionale Erweiterung hat. Absender und Empfänger müssen sich über die Syntax und Semantik der auf diese Weise übermittelten Daten einigen.

Ich sehe keinen "konventionellen" Weg, dies zu tun, da Attribute normalerweise in Assertions und nicht in AuthnRequests enthalten sind.

Answer 2

Es gibt einen Fall, in dem Attribute Teil der Autorisierungsanfrage sein sollen. so dass wir den Attributnamen aus der Anfrage erhalten können, um eine Antwort-Assertion mit demselben zu erstellen.

weil der Dienstanbieter die Antwort durch den Vergleich der Attributnamen validiert. Wir können das Beispiel von Salesforce als Dienstanbieter nehmen, wo das Gleiche passiert.