3.4 认证请求协议

本博客采用知识共享署名 4.0 国际许可协议进行许可

当委托人（或代表委托人行事的代理人）希望获得包含认证声明的断言，以便在一个或多个依赖方建立安全上下文时，它可以使用认证请求协议来发送<AuthnRequest>消息元素给SAML机构，并请求它返回包含一个或多个此类断言的<Response>消息。此类断言可能包含任何类型的附加声明，但是至少要有一个断言必须包含至少一个身份认证声明。支持该协议的SAML机构也被称为身份提供者（IDentity Provider）。

译者（义臻）注：这里给出了IDP（IDentity Provider）的明确定义。

除此之外，返回断言的具体内容取决于使用的配置文件或上下文。此外，委托人或代理人向身份提供者进行身份认证的具体方式也未指定，尽管身份认证的方式可能会影响SAML响应的内容。诸如IDP对身份凭证的验证、又或者IDP和身份认证过程中涉及到的任何其他实体之间的通信等其他问题，都不在本协议讨论的范畴之内。

以下章节中的描述和处理规则涉及以下参与者，其中许多参与者在一些特定的使用场景中可能是相同的实体：

• Requester

创建身份认证请求并向其返回响应的实体。

• Presenter

将请求提交给身份提供者，并在消息传输过程中对自身进行身份验证，或依赖现有安全上下文建立其身份的实体。如果不是Requester，那么就是请求者和正在进行响应的身份提供商之间的中间人。

• Requested Subject

正在被请求的一个或多个断言所关联的那个实体。

• Attesting Entity

期望能够使得结果断言中的<SubjectConfirmation>元素中的一个得到满足的一个或多个实体。

• Relying Party

期望通过消费断言来完成由配置文件或使用上下文定义的目的（通常是建立一个安全上下文）的一个或多个实体。

• Identity Provider

向其发出请求并从其接收响应的实体。

译者（义臻）注：根据笔者的理解，假设这样的一个场景，用户甲在使用云版Office服务，首先通过微软的AD进行了登录。那么Requester指的是云版Office服务，Requested Subject是用户甲，Relying Party指的是云版Office服务，Identity Provider指的是AD服务，Presenter指的是用户甲及其所使用的UserAgent，Attesting Entity指的是AD服务中的认证部分。