Quels sont les différents NameID format utilisé pour?
SAML fichier de métadonnées il y a plusieurs NameID format défini, par exemple:
<NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
Quelqu'un peut-il expliquer ce que sont ces est-il utilisé? Quelles sont les différences?
Vous devez vous connecter pour publier un commentaire.
Reporter à la Section 8.3 du présent SAML core pdf de l'oasis spécification SAML.
SP et de personnes déplacées, généralement de communiquer les uns des autres sur un sujet.
Le sujet doit être identifiée par un NOM d'Identificateur , qui devrait être dans un certain format, de sorte qu'Il est facile pour l'autre partie de l'identifier en fonction du Format.
Tous ces
sont format pour le Nom Identifiants.
Le format de nom pour un transitoire ID SAML 1 urn:mace:shibboleth:1.0:nameIdentifier et SAML 2 urn:oasis:names:tc:SAML:2.0:nameid-format:transitoire
Transitoire est pour [section 8.3.8 de SAML de Base]
Non spécifiée peut être utilisée et il purement dépend de la mise en œuvre des entités sur leur propre désir.
Unless otherwise specified by an element based on this type, if no Format value is provided, then the value urn:oasis:names:tc:SAML:1.0:nameid-format:unspecified (see Section 8.3.1) is in effect.
Sur ce je pense que vous pouvez faire référence à http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html.
Voici ma compréhension à ce sujet,
avec le la Fédération d'Identité de Cas d'Utilisation à donner les détails de ces concepts:
IdP fournit les identificateurs Persistants, ils sont utilisés pour lier les comptes locaux dans le domaine SPs, mais qu'ils identifient comme le profil de l'utilisateur pour le service spécifique de chaque seul. Par exemple, les identificateurs persistants sont du genre : johnForAir, jonhForCar, johnForHotel, ils ont tous simplement pour un service déterminé, car il a besoin de lien à son identité locale dans le service.
Transitoire identificateurs sont ce IdP dire la SP que les utilisateurs de la session ont été accordées pour l'accès à la ressource sur la SP, mais l'identité des utilisateurs n'offrent pas de SP en fait. Par exemple, L'affirmation comme “l'Anonymat(Idp ne dit pas SP qui il est) a la permission d'accéder à /de ressources sur la SP”. SP a obtenu et laissez navigateur pour y accéder, mais ne savons pas encore Anonymat " vrai nom.
L'explication dans la spec est "L'interprétation du contenu de l'élément est laissé aux implémentations". Ce qui signifie IdP définit le format pour elle, et elle suppose que le SP sait comment analyser les données au format de répondre à partir de Déplacés. Par exemple, IdP donne un format de données "nom d'utilisateur=XXXXX Pays=US", SP obtenir l'assertion, et peut l'analyser et en extraire le nom d'utilisateur est "XXXXX".
C'est juste un conseil pour le Fournisseur de Services sur quoi compter à partir de la NameID retourné par le Fournisseur d'Identité. Il peut être:
unspecified
emailAddress
– par exemple[email protected]
X509SubjectName
– par exemple,CN=john,O=Company Ltd.,C=US
WindowsDomainQualifiedName
– par exempleCompanyDomain\John
kerberos
– par exemplejohn@realm
entity
– ce utilisé pour identifier les entités qui fournissent des SAML services et ressemble à un URIpersistent
– c'est un opaques service-identificateur spécifique qui doit inclure une pseudo-aléatoire de la valeur et ne doit pas être traçable à l'utilisateur réel, c'est donc une fonction de confidentialité.transient
– opaque identifiant qui doit être traité comme temporaire.1 et 2 sont SAML 1.1, car ceux Uri ont été une partie de l'OASIS SAML 1.1. L'article 8.3 de la PDF liées pour l'OASIS norme SAML 2.0 explique ceci: