Saml 2.0: Pourquoi NotBefore dans le schéma pour SubjectConfirmationData s'il n'est pas autorisé?

Question

Nous avons plusieurs fournisseurs de services utilisant Saml 2.0 pour l'authentification unique et ils fonctionnent tous très bien. Notre ajout le plus récent est le recadrage parce que nous envoyons un attribut NotBefore sur l'élément SubjectConfirmationData. Pour autant que je peux dire, cela fait partie du schéma xsd pour Saml 2.0 (https://docs.oasis-open.org/security/saml/v2.0/saml-schema-assertion-2.0.xsd) mais il est marqué comme NE DOIT PAS dans ce profil PDF (https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf).

Qu'est-ce qui me manque?

Answer 1

Comme vous l'avez compris, le profil SSO du navigateur Web, qui est celui que vous utilisez pour fournir une authentification unique à vos utilisateurs en tant que fournisseur d'identité, vous interdit de définir NotBefore. Le profil définit d'autres limitations pour le schéma défini pour l'assertion à utiliser de manière générique, ce qui est totalement correct.

Le fournisseur de services à portée de main vérifie strictement la conformité et rejette donc votre assertion. Le fait qu'il ait fonctionné jusqu'à présent signifie probablement que les autres implémentations du fournisseur de services étaient plus clémentes.