SAML 属性 AttributeStatement 的用法

Question

在 SAML 2.0 中，您可以使用 AttributeStatement 元素来提供任何类型的应用程序特定信息。

我想知道，在 SAML 断言中传递业务相关信息真的是一个好的设计吗？这些数据不应该在单独的 Web 服务调用中提供吗？

我只是想询问这种情况下的最佳实践或任何现实世界的经验。

问候， 安德烈亚斯

Answer 1

这在很大程度上取决于您要传达的信息。例如，在我开发的应用程序中，我们使用属性来指示应向登录用户显示哪些网站功能。这显然是一个合适的用途。现在，我们还允许使用属性来创建用户配置文件，即使我们有一个执行相同操作的 Web 服务（事实上，该实现在幕后调用 Web 服务）。对于这类事情来说，这并不是一个理想的环境。没有端点可以传送 Web 服务响应，也没有尝试导致的任何错误。但我们受到了客户的强烈抵制，他们不希望在进行 SSO 调用之前必须调用单独的 Web 服务。所以我们不得不妥协。我们所做的是要求如果客户想要使用此特定功能，他们需要提供一个端点（电子邮件地址或网页）来接收来自 Web 服务调用的错误。如果他们担心所传送信息的安全性，他们可以使用标准 XML 加密。