Scoping

BEMÆRK at WAYF fra juni 2018 vil understøtte flere og enklere måder at lave scoping på end den herunder beskrevne.

WAYF understøtter at SP'er kan specificere i en loginforespørgsel hvilken IdP/institution forespørgslen skal sendes til — sådan at brugeren ikke får vist WAYFs institutionsliste, men fra tjenesten straks sendes videre til institutionens loginside. Kun ret få tredjepartsimplementeringer af SAML2-SP understøtter afsendelse af den slags login-requests, bl.a. SimpleSAMLphp og CORTO. Specifikationen af den ønskede login-IdP har form af elementet samlp:Scoping indføjet som sidste element i samlp:AuthnRequest'et:

	.
	.
    <samlp:Scoping>
        <samlp:IDPList>
            <samlp:IDPEntry ProviderID="https://entityID-of-preferred-IdP" />
        </samlp:IDPList>
    </samlp:Scoping>
</samlp:AuthnRequest>

Når WAYF fra en tjeneste modtager et login-request som slutter som vist herover, vil brugeren altså ikke se institutionslisten, men med det samme blive sendt hen til loginsiden for den institution som i WAYFs metadataregister er registreret med forbindelses-ID'et (entityID'et) https://entityID-of-preferred-IdP. Forbindelses-ID'erne for WAYFs institutioner -- altså de mulige værdier for ProviderID i eksemplet herover -- kan ses her, i JSON-format.

Hvis man selv implementerer sin SAML2-SP, kan man naturligvis nemt snedkerere login-requests med scoping hvis man har behov for det. Men hvis man er afhængig af tredjepartsimplementeringer, kan det være vanskeligt få sin SP til at afsende scope'ede requests.

BEMÆRK at WAYF fra juni 2018 vil understøtte flere og enklere måder at lave scoping på end den herover beskrevne.