Блог

При чтении документов спецификации SAMLv2 кажется, что проверка значения для IssueInstant не должна выполняться в отличие от Conditions утверждения.

Верно ли это впечатление?

Спасибо и с уважением, Бернард

Правильно. В соответствии со спецификацией ядра SAML 2.0 —

Обратите внимание, что период времени, указанный необязательными атрибутами NotBefore и NotOnOrAfter, если они присутствуют, ДОЛЖЕН укладываться в общий период действия утверждения, указанный атрибутами элемента NotBefore и NotOnOrAfter. Если присутствуют оба атрибута, значение для NotBefore ДОЛЖНО быть меньше (ранее, чем) значения для NotOnOrAfter.

Мне не известны какие-либо конкретные правила обработки для IssueInstant явно.

Связанная спецификация

Соображения безопасности и приватности для языка разметки утверждений безопасности OASIS (SAML) версии 0

сообщает …

Сайт поставщика услуг МОЖЕТ выбрать более строгую проверку достоверности утверждений единого входа, например, требовать, чтобы значение атрибута IssueInstant утверждения или AuthnInstant было в течение нескольких минут с момента получения утверждения на сайте поставщика услуг.