3.4.1.5 代理

本博客采用知识共享署名 4.0 国际许可协议进行许可

如果收到<AuthnRequest>的身份提供商尚未对请求提出者进行身份认证，或无法直接对请求提出者进行身份认证，但认定请求提出方已向其他身份提供商或非SAML等价物进行了身份认证，那么，它可以通过以自己的名义发出一个新的<AuthnRequest>并提交给另一个身份提供商来进行响应，或者通过以实体认可的任何非SAML格式发出请求来进行响应。原始身份提供商（original identity provider）被称为代理身份提供商（proxying identity provider）。

一旦向代理提供商成功的返回了<Response>（或非SAML等价物），那么就可以用断言或非SAML等价物来认证请求提出者的身份，以便于代理提供商可以发出其自己的断言来响应原始的<AuthnRequest>请求，进而完成整个消息交换。代理和身份提供商都可以在其发出的消息和断言中包含对代理活动的约束，如前几节和下文所述。

请求者可以通过在身份提供商设置ProxyCount值的位置包含一个<Scoping>元素来影响代理者的行为，请求者也可以通过包含首选提供商的有序<IDPList>来指明可以被代理的首选身份提供商列表。

身份提供商可以通过在其发布的断言中使用<ProxyRestriction>元素来控制断言被代理身份提供商的二次使用。