我使用的认证标准SAML 2.0 SP-initiated SSO协议。
通常情况下的IdP返回samlp:Response XML对象到我的SP,包含有关身份验证的用户saml:Assertion。
是否SAML规范允许的IdP返回不包含用户信息的SP的响应?
我想处理情况验证无法完成的情况,但我们要返回到SP的网站。也许IdP进行可能返回某种错误或消息给我们的SP?现在它好像如果认证是不可能的,用户停留于IDP的网站。
我想他们可能只是重定向到一个商定的URL,虽然那么你将失去的RelayState信息。请问这是正确的做法,还是在SAML规范处理这种情况?
该SAML2规范处理此。国内流离失所者可以返回samlp:response与Responder意义的状态代码的IDP未能履行请求。再就是可以对究竟为什么更详细的状态信息。
但是,在一个IDP未能认证用户的情况下,可以在协议处理。但是,我认为,大多数国内流离失所者表现为你描述 - 保持对IDP用户如果事情不顺心。
由OP增加了 - 这是来自SAML spec:
<StatusCode>[可选]从属地位的代码,它提供一个错误条件更具体的信息。需要注意的是应答器可为了防止寻求通过故意提出错误的请求探测附加信息的攻击忽略从属地位码。
允许的顶层的值如下:
urn:oasis:names:tc:SAML:2.0:status:Success请求成功。附加信息可以在和/或元件被返回。
urn:oasis:names:tc:SAML:2.0:status:Requester请求不能被应于请求者的一部分被执行的错误。
urn:oasis:names:tc:SAML:2.0:status:Responder请求不能被由于在SAML应答或SAML机构的一部分被执行的错误。因为请求消息的版本是不正确的
urn:oasis:names:tc:SAML:2.0:status:VersionMismatch的SAML响应无法处理请求。