Single sign on 不同的NameID格式用于什么?
在SAML元数据文件中定义了几种名称ID格式,例如:Single sign on 不同的NameID格式用于什么?,single-sign-on,saml,opensaml,Single Sign On,Saml,Opensaml,在SAML元数据文件中定义了几种名称ID格式,例如: <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:2.
<NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
urn:mace:shibboleth:1.0:nameIdentifier
urn:oasis:names:tc:SAML:1.1:nameid格式:未指定
urn:oasis:names:tc:SAML:2.0:nameid格式:transient
有人能解释一下这些是用来干什么的吗?区别是什么?请参阅本oasis SAML规范第8.3节 SP和IdP通常就某个主题相互交流。 该主题应通过名称标识符进行识别,名称标识符应采用某种格式,以便另一方根据该格式轻松识别 所有这些
1.urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified [default]
2.urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
3.urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
4.urn:oasis:names:tc:SAML:2.0:nameid-format:transient
可以使用Unspecified,这完全取决于实体根据自己的意愿实现。1和2是SAML 1.1,因为这些URI是OASIS SAML 1.1标准的一部分。链接PDF的第8.3节对此进行了解释: 在可能的情况下,使用现有URN指定协议。对于IETF协议,使用指定协议的最新RFC的URN。根据最初引入SAML的规范集版本,专门为SAML创建的URI引用具有以下茎之一:
urn:oasis:names:tc:SAML:1.0:
urn:oasis:names:tc:SAML:1.1:
urn:oasis:names:tc:SAML:2.0:
关于这一点,我想你可以参考 这是我对这件事的理解, 使用身份联合用例提供这些概念的详细信息:
- 持久标识符-
- 瞬时标识符-
- 未指定标识符-
规范中对此的解释是“元素内容的解释留给各个实现”。这意味着IdP定义了它的实际格式,并且假设SP知道如何解析IdP响应的格式数据。例如,IdP提供一个格式数据“UserName=XXXXX Country=US”,SP获取断言,并可以对其进行解析并提取用户名“XXXXX” 它只是一个提示,提示服务提供者从身份提供者返回的NameID中可以得到什么。它可以是:
未指定电子邮件地址john@company.comX509SubjectNameCN=john,O=Company Ltd.,C=USWindowsDomainQualifiedNameCompanyDomain\Johnkerberosjohn@realm实体persistent暂时的如果您正在返回您的用户ID,并且它是公共的,并且您不打算在短期内更改它们,那么我相信您需要“持久性”。我在规范中看不到任何说明“未指定”格式应被视为[默认]格式的内容。我很有兴趣找到这方面的参考资料。还记得从哪里得到的吗?@alxgomz-请参见中的第455行和第455行,特别是
,除非基于此类型的元素另有规定,否则如果未提供格式值,则值urn:oasis:names:tc:SAML:1.0:nameid Format:unspecified(请参见第8.3.1节)有效。