在針對SAML 2 IdP進行authn時,主題名稱標識符應該用於什麼目的?它跟蹤每個用戶登錄嗎?SAML 2主題名稱標識符的用途是什麼?
我想知道我的SAML 2服務提供商應用程序是否應該跟蹤這些不同的用戶。由於它們是暫時的,它們對於不同的登錄可能會有所不同(所以我需要使用掛起用戶帳戶的集合進行跟蹤)。
在針對SAML 2 IdP進行authn時,主題名稱標識符應該用於什麼目的?它跟蹤每個用戶登錄嗎?SAML 2主題名稱標識符的用途是什麼?
我想知道我的SAML 2服務提供商應用程序是否應該跟蹤這些不同的用戶。由於它們是暫時的,它們對於不同的登錄可能會有所不同(所以我需要使用掛起用戶帳戶的集合進行跟蹤)。
<NameIdentifier>
元素是一個SAML 1.1概念。它已被識別主題的<NameID>
元素所取代。 NameID不一定是瞬態的 - 請參閱SAML 2.0核心的第8.3節specification
名稱標識符包含多個屬性。
的第一個屬性是NameQualifier,其指定在IDP用戶的安全域。安全域對於消除使用相同名稱標識符的不同用戶很有用。
第二個屬性是SPNameQualifier,其指定在所述SP的用戶的安全域。
第三個屬性是格式,它指定應如何解釋名稱標識符。
例如,電子郵件地址當用戶想要在IDP和SP中使用相同的名稱標識符時使用名稱標識符格式。這意味着如果用戶在IDP中以[email protected]身份登錄,則用戶也可以在SP中登錄爲[email protected]。
另一個例子,當用戶不想在IDP和SP中使用相同的名稱標識符時使用持久標識符。這意味着用戶可以在IDP中以[email protected]身份登錄,但在SP中以[email protected]身份登錄。這可以通過使用IDP和SP同意的標識符(例如12345)來實現,標識符映射到IDP中的[email protected]並映射到SP中的[email protected]。當您不希望SP知道IDP中用戶的名稱標識符時,持久標識符很有用。