Какова цель идентификатора имени объекта SAML 2?

Question

Когда вы используете authn против SAML 2 IdP, для чего должен использоваться идентификатор имени субъекта? Отслеживает ли он каждый пользовательский логин?

Мне интересно, должно ли мое приложение поставщика услуг SAML 2 отслеживать их для разных пользователей. Поскольку они временны, они могут быть разными для разных логинов (поэтому мне нужно будет отслеживать использование коллекции, зависающей от учетной записи пользователя).

Answer 1

Элемент <NameIdentifier> является концепцией SAML 1.1. Он был заменен элементом <NameID>, который идентифицирует субъекта. NameID не обязательно является переходным процессом - см. Раздел 8.3 ядра SAML 2.0 specification

Answer 2

Идентификатор имени содержит несколько атрибутов.

Первый атрибут: NameQualifier, который определяет домен безопасности пользователя в IDP. Домен безопасности полезен для устранения неоднозначности различных пользователей, которые используют один и тот же идентификатор.

Второй атрибут: SPNameQualifier, который определяет домен безопасности пользователя в SP.

Третий атрибут: Формат, в котором указывается, как следует интерпретировать идентификатор имени.

Например, Адрес электронной почты Формат идентификатора имени используется, когда пользователь хочет использовать идентификатор того же имени в IDP и SP. Это означает, что если пользователь является логином как alice@domain.com в IDP, пользователь также регистрируется как alice@domain.com в SP.

Другой пример: Persistent Identifier используется, когда пользователь не хочет использовать один и тот же идентификатор имени в IDP и SP. Это означает, что пользователь может войти в систему как alice@idp.com в IDP, но войти как bob@sp.com в SP. Это достигается с помощью идентификатора, такого как 12345, согласованного IDP и SP, который сопоставляется с alice@idp.com в IDP и сопоставляется с bob@sp.com в SP. Постоянный идентификатор полезен, если вы не хотите, чтобы SP знал идентификатор имени пользователя в IDP.