Ping 是否支持 SAML 中的多个受众限制值？

Question

使用 PING 作为我的身份提供者，我是否可以选择设置多个受众值（在我为我的应用程序添加的服务提供者配置中），以便它们将在 SAML 断言的 AudienceRestriction 元素中返回？ 正如我所见，PING 增加了发行人作为受众的价值，仅此而已。

示例条件元素

<ns2:Conditions NotBefore="2011-01-10T20:52:56Z" NotOnOrAfter="2011-01-10T20:54:56Z">
  <ns2:AudienceRestriction>
    <ns2:Audience>urn:saml2:partnerspid</ns2:Audience>
  </ns2:AudienceRestriction>
  <ns2:AudienceRestriction>
    <ns2:Audience>Audience-IDP</ns2:Audience>
  </ns2:AudienceRestriction>
</ns2:Conditions>

Answer 1

您必须运行 PingFed 8.0+ 才能使其工作，这是 Ping 开始允许自定义请求和响应 XML 的地方。您应该在他们的documentation 中阅读有关该主题的更多信息。

使用这个：

#AssertionType.getConditions().addNewAudienceRestriction().addAudience("whatever:eh")

会给你类似下面的元素：

<saml:Conditions NotBefore="2017-03-24T20:23:55.341Z" NotOnOrAfter="2017-03-24T20:38:55.341Z">
  <saml:AudienceRestriction>
    <saml:Audience>pingfederate:default:entityId</saml:Audience>
  </saml:AudienceRestriction>
  <saml:AudienceRestriction>
    <saml:Audience>whatever:eh</saml:Audience>
  </saml:AudienceRestriction>
</saml:Conditions>

但是，SAML 规范 (SAML-CORE-2.0, 2.5.1.4) 指出：

请注意，多个元素可以包含在一个 单个断言，并且每个断言都必须独立评估。效果 这个要求和前面的定义是在一个 给定条件，观众形成一个析取（“或”），而 多个条件形成一个连词（“AND”）。

因此，在您所说的那种格式中，您将得到一个“AND”。您的伴侣不太可能同时满足两者，因此我认为您可能正在寻找“或”。如果是这种情况，您将需要使用以下内容：

#AssertionType.getConditions().getAudienceRestrictionArray(0).addAudience("whatever:eh")

这应该产生类似的东西：

<saml:Conditions NotBefore="2017-03-24T20:20:37.046Z" NotOnOrAfter="2017-03-24T20:35:37.046Z">
  <saml:AudienceRestriction>
    <saml:Audience>pingfederate:default:entityId</saml:Audience>
    <saml:Audience>whatever:eh</saml:Audience>
  </saml:AudienceRestriction>
</saml:Conditions>