The OAuth2 SAML bearer spec opisuje, w jaki sposób aplikacja może przedstawić potwierdzenie dla tokena punktu końcowego jako autoryzację grantu. Na przykład Salesforce's API pozwala na takie podejście, aby umożliwić aplikacjom autonomiczne żądanie tokenów dostępu dla konta użytkownika (o ile użytkownik już wyraził na to zgodę, poza pasmem).Jakie jest znaczenie SubjectConfirmation w udzieleniu autoryzacji SAML OAuth2?
Mam problem ze zrozumieniem, co oznacza to twierdzenie. Większość z nich jest wystarczająco jasna, np.
Issuer
jest partia, która generowana (i podpisane) twierdzenieSubject
jest łatwy do którego konta token dostępu jest wymaganyAudienceRestriction
ogranicza publiczność do punktu końcowego tokena.
Ale mam problemy ze zrozumieniem znaczenia:
AuthnStatement
- Moje rozumienie ze spec SAML jest to, że wystawca tego twierdzenia jest uczynienie oświadczenie, że (emitent) uwierzytelnił podmiot. Czy to jest poprawne?SubjectConfirmation
- kto potwierdza co tutaj? Specyfikacja SAML w sposób pomocny stwierdza, że ten element "Informacje, które umożliwiają potwierdzenie tematu". Ale co to jest potwierdzenie? A kto ją wykonuje, w jaki sposób, kiedy i w jakim celu?