SAML2.0 AuthnRequest AudienceRestriction

Question

在AuthnRequest期间，是否存在AudienceRestriction

<saml:AudienceRestriction>
  <saml:Audience>http://serviceprovider.com/</saml:Audience>
</saml:AudienceRestriction>

将与AuthnRequest中的颁发者不同

   <?xml version="1.0" encoding="UTF-8"?>
  <saml2p:AuthnRequest 
       xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
       xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
       xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
       AssertionConsumerServiceURL="https://serviceprovider.com/acs/web/sso/receiveSamlAuthentication" 
      Destination="http://idp.net/idp/SSOPOST/metaAlias/realm2/IDP"
     ID="http://serviceprovider.com/acsdata/data/AcsConfiguration/821212" IssueInstant="2010-08-20T14:48:27.620Z" Version="2.0">
              <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">http://serviceprovider.com/</saml2:Issuer>
....
   </saml2p:AuthnRequest>

Answer 1

SAML 2.0 Web浏览器SSO配置文件(来自saml- Profile -2.0-os.pdf:566/577)：

包含承载主体确认的断言必须包含一个AudienceRestriction，该The包含作为受众的服务提供商的唯一标识符

因此，似乎它们应该总是相同的情况，至少是为了符合发布的配置文件。

Answer 2

也许，如果您在一个URL上有一个登录应用程序，而在另一个URL上有一个“真正的”应用程序？也许不常见，但几乎不可能；比如说，通过HTTPS拥有登录功能，通过HTTP拥有应用程序。