SAML NameId Policy

Question

Ich bin neu im Konzept der Single Sign On (SSO). Ich habe erfahren, dass die SAML-Anfrage und -Antwort der beste Weg ist, um den SSO-Prozess zu erreichen. Ich begann dann über SAML2.0 zu lesen. Ich kam um einen Begriff NameIdPolicy in saml2.0, die nicht in saml1.0 da war.

Definitionen sagen, dass es das Format der NameID ist, die wir vom IdP verlangen. Ich will wissen, was dieses Format ist? Ich meine, welche Daten von IDP sollten im Format NameIDPolicy angegeben werden? Kann mir jemand etwas über dieses NameIdPolicy-Konzept sagen?

Answer 1

Vom SAML 2.0 core spec, die NameIDPolicy

Gibt Einschränkungen für die Namenskennung auf den angeforderten Gegenstand darzustellen verwendet werden. Wenn diese Angabe weggelassen wird, kann jeder vom Identitätsanbieter für das angeforderte Subjekt unterstützte Bezeichner verwendet werden, z. B. , eingeschränkt durch relevante anwendungsspezifische Richtlinien.

Bei der Durchführung einer Identitätsföderation müssen die verbundenen Parteien eine Kennung für die verknüpften Konten des Principals vereinbaren. Die Bezeichner-Zeichenfolge heißt NameID, und ihre Spezifikation einschließlich des Formats lautet NameIDPolicy.

Zum Beispiel kann ein Service Provider (SP) initiiert Verband durch eine AuthnRequest an den Identity Provider Senden (IDP) enthalten

<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> 

Dieses die IDP erzählt, dass seine Antwort Assertion XML so etwas wie

enthalten sollte

<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID> 

wobei die E-Mail-Adresse das zu authentifizierende Subjekt darstellt.

Sie können mehr lesen, indem Sie SAML 2.0 Wikipedia page (gut geschrieben), SAML 2.0 core spec und SAML 2.0 Name Identifier document lesen.