Qual è lo scopo dell'identificatore del nome soggetto SAML 2?

Question

Quando si esegue authn contro un IdP SAML 2, cosa si intende per Identificatore del nome soggetto? Tiene traccia di ogni accesso utente?

Mi chiedo se la mia applicazione del fornitore di servizi SAML 2 dovrebbe tenerne traccia per diversi utenti. Dal momento che sono transitori, possono essere diversi per accessi diversi (quindi avrei bisogno di tracciare usando una collezione appesa all'account utente).

Answer 1

L'elemento <NameIdentifier> è un concetto SAML 1.1. È stato sostituito dall'elemento <NameID> che identifica l'oggetto. NameID non è necessariamente transitorio - vedere la sezione 8.3 del core SAML 2.0 specification

Answer 2

Nome L'identificatore contiene diversi attributi.

Il primo attributo è NameQualifier, che specifica il dominio di sicurezza dell'utente presso l'IDP. Il dominio di sicurezza è utile per disambiguare i diversi utenti che utilizzano lo stesso identificativo del nome.

Il secondo attributo è SPNameQualifier, che specifica il dominio di sicurezza dell'utente sul SP.

Il terzo attributo è Formato, che specifica come deve essere interpretato l'identificativo del nome.

Ad esempio, Indirizzo di posta elettronica il formato dell'identificativo del nome viene utilizzato quando l'utente desidera utilizzare lo stesso identificatore di nome in IDP e SP. Ciò significa che se l'utente accede come alice@domain.com in IDP, l'utente è anche il login come alice@domain.com in SP.

Un altro esempio, Persistent Identifier viene utilizzato quando l'utente non desidera utilizzare lo stesso identificatore di nome in IDP e SP. Ciò significa che un utente può accedere come alice@idp.com in IDP, ma accedere come bob@sp.com in SP. Ciò si ottiene utilizzando un identificatore, come 12345, concordato da IDP e SP, che è mappato a alice@idp.com in IDP e mappato a bob@sp.com in SP. Persistent Identifier è utile quando non si desidera che l'SP conosca l'identificativo del nome dell'utente in IDP.