10

对 SAML 2 IdP 执行身份验证时,主题名称标识符应该用于什么?它是否跟踪每个用户的登录?

我想知道我的 SAML 2 服务提供商应用程序是否应该为不同的用户跟踪这些。由于它们是瞬态的,因此对于不同的登录,它们可能会有所不同(因此我需要使用挂起用户帐户的集合进行跟踪)。

4

2 回答 2

9

<NameIdentifier>元素是一个 SAML 1.1 概念。它已被<NameID>标识主题的元素所取代。NameID 不一定是临时的 - 请参阅 SAML 2.0 核心规范的第 8.3 节

于 2012-04-19T18:37:51.220 回答
9

Name Identifier 包含几个属性。

第一个属性是NameQualifier,它指定用户在 IDP 的安全域。安全域有助于区分使用相同名称标识符的不同用户。

第二个属性是SPNameQualifier,它指定了用户在 SP 的安全域。

第三个属性是Format,它指定应该如何解释名称标识符。

例如,当用户希望在 IDP 和 SP 中使用相同的名称标识符时,使用电子邮件地址名称标识符格式。这意味着如果用户在 IDP 中以 alice@domain.com 登录,则用户在 SP 中也以 alice@domain.com 登录。

另一个例子,当用户不想在 IDP 和 SP 中使用相同的名称标识符时,使用持久标识符。这意味着用户可以在 IDP 中以 alice@idp.com 身份登录,但在 SP 中以 bob@sp.com 身份登录。这是通过使用IDP和SP同意的标识符来实现的,例如12345,该标识符在IDP中映射到alice@idp.com,在SP中映射到bob@sp.com。当您不希望 SP 知道 IDP 中用户的名称标识符时,持久标识符很有用。

于 2013-03-09T14:17:52.770 回答