5.3 签名的继承

本博客采用知识共享署名 4.0 国际许可协议进行许可

SAML断言可以被嵌入到另一个可以被签名的SAML元素中，例如封装的<Assertion>、SAML请求、或SAML响应。当SAML断言本身不包含<ds:Signature>元素，但却被包含在一个包含了<ds:Signature>元素的封闭SAML元素中，并且签名应用到了<Assertion>元素及其所有子元素时，那么就可以认为该断言是继承了对应封闭SAML元素的签名。这种情况应该等同于断言本身使用相同的密钥和签名参数进行了签名。

许多SAML用例都涉及到SAML XML数据，这些SAML XML数据被包含在其他的受保护的数据结构中，比如：签名的SOAP消息、S/MIME包、或经过认证的SSL连接。SAML配置文件可以定义额外的规则，以将SAML元素解释为继承的签名或来自于周围上下文的身份验证信息，但是，除非配置文件明确指出，否则不应推断出此类继承。