2014-09-02 48 views
4

我在查看一些SAML 2.0服務提供商元數據示例,並發現有多個NameIDFormat標記的元數據文件。現在我看到的大多數其他示例都只有一個,因此此代碼段表示SP將接受SAML 1.1中的NameID以及SAML 2.0格式,並且在SAML 2.0響應的情況下可以接受transient和nameID。SAML 2.0服務提供商元數據中的多個md:NameIDFormat標記

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> 
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat> 
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> 
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> 
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat> 

回答

8

只是爲了讓其他人正在尋找這個問題的答案知道 - 我能夠確認我的理解是正確的。 SP可以通過在SP元數據中使用多個標籤來宣傳它可以支持的多種NameID格式的支持。但是,直到IdP才能履行此義務,並以支持的格式之一發送NameID,或完全忽略它,並以SP不支持的格式發送。但是,在這種情況下,SP將無法解析NameID值,並會失敗。

+0

這是一個很好的自我回答,因此請將其標記爲接受的答案,以防止問題顯示爲未答覆。 – 2014-09-07 08:46:47

相關問題