SAML 2.0服務提供商元數據中的多個md：NameIDFormat標記

Question

我在查看一些SAML 2.0服務提供商元數據示例，並發現有多個NameIDFormat標記的元數據文件。現在我看到的大多數其他示例都只有一個，因此此代碼段表示SP將接受SAML 1.1中的NameID以及SAML 2.0格式，並且在SAML 2.0響應的情況下可以接受transient和nameID。

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> 
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat> 
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> 
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> 
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat> 

Answer 1

只是爲了讓其他人正在尋找這個問題的答案知道 - 我能夠確認我的理解是正確的。 SP可以通過在SP元數據中使用多個標籤來宣傳它可以支持的多種NameID格式的支持。但是，直到IdP才能履行此義務，並以支持的格式之一發送NameID，或完全忽略它，並以SP不支持的格式發送。但是，在這種情況下，SP將無法解析NameID值，並會失敗。