Il 2.0% di CO2 di SAML è praticamente quello che hai raccolto. È una condizione di validità per un'affermazione. In particolare, dichiara che la semantica dell'asserzione è valida solo per la parte relying nominata dall'URI in quell'elemento.
Lo scopo è quello di limitare le condizioni in base alle quali l'asserzione è valida e, facoltativamente, fornire termini e condizioni relativi a tale validità. Quindi la semantica dell'elemento ha a che fare con l'ambito e le condizioni delle relazioni di fiducia. Da Core SAML 2.0, Sezione 2.5.1.4 (PDF) :
Although a SAML relying party that is outside the audiences specified
is capable of drawing conclusions from an assertion, the SAML
asserting party explicitly makes no representation as to accuracy or
trustworthiness to such a party...
...the <AudienceRestriction> element allows theSAML asserting party to
state explicitly that no warranty is provided to such a party in a
machine- andhuman-readable form. While there can be no guarantee that
a court would uphold such a warrantyexclusion in every circumstance,
the probability of upholding the warranty exclusion is
considerably improved...
I., non è una cosa del codice ma una cosa umana (gestione del rischio / garanzia / fiducia). Se vengono utilizzati in modo errato i moduli tendono a generare errori: la maggior parte degli SP si aspettano di essere elencati in AudienceRestriction .