Il OAuth2 SAML bearer spec descrive come un'applicazione può presentare un'asserzione a un endpoint token come concessione di autorizzazione. Ad esempio, Salesforce's API consente a questo approccio di abilitare le app a richiedere autonomamente token di accesso per un account utente (a condizione che l'utente abbia già dato il permesso per questo, fuori banda).Qual è il significato di SubjectConfirmation in OAuth2 Sovvenzione autorizzazione SAML?
Sto avendo problemi a dare un senso a ciò che l'asserzione significa, però. La maggior parte è abbastanza chiara, ad es.
Issuer
è il partito che ha generato (e firmato) l'affermazioneSubject
è l'utente per cui account viene richiesto un token di accessoAudienceRestriction
limita il pubblico al punto finale token.
ma sto avendo difficoltà a capire il significato di:
AuthnStatement
- La mia comprensione dalla specifica SAML è che l'emittente di questa affermazione sta facendo l'affermazione che essa (l'emittente) ha autenticato l'argomento. È giusto?SubjectConfirmation
- chi sta confermando cosa? Le specifiche SAML indicano utilmente che questo elemento "Informazioni che consente di confermare il soggetto". Ma cos'è la conferma? E chi lo esegue, e come, e quando e per quale scopo?