Mục đích của Mã định danh tên đối tượng SAML 2 là gì?

Question

Khi thực hiện authn đối với IdP SAML 2, Định danh tên chủ thể phải là gì? Nó có theo dõi từng thông tin đăng nhập của người dùng không?

Tôi tự hỏi liệu ứng dụng nhà cung cấp dịch vụ SAML 2 của tôi có nên theo dõi những điều này cho những người dùng khác nhau hay không. Vì chúng thoáng qua, chúng có thể khác nhau đối với các thông tin đăng nhập khác nhau (vì vậy tôi sẽ cần phải theo dõi bằng cách sử dụng một bộ sưu tập treo ngoài tài khoản người dùng).

Answer 1

Yếu tố <NameIdentifier> là khái niệm SAML 1.1. Nó đã bị thay thế bởi phần tử <NameID> xác định chủ thể. NameID không nhất thiết phải thoáng qua - xem phần 8.3 của lõi SAML 2.0 specification

Answer 2

Mã định danh tên chứa một số thuộc tính.

Thuộc tính đầu tiên là NameQualifier, chỉ định miền bảo mật của người dùng tại IDP. Miền bảo mật rất hữu ích để phân biệt người dùng khác nhau sử dụng cùng một tên nhận dạng.

Thuộc tính thứ hai là SPNameQualifier, chỉ định miền bảo mật của người dùng tại SP.

Thuộc tính thứ ba là Định dạng, chỉ định cách diễn giải mã nhận diện tên.

Ví dụ: Địa chỉ email định dạng nhận dạng tên được sử dụng khi người dùng muốn sử dụng cùng số nhận dạng tên trong IDP và SP. Điều này có nghĩa rằng nếu người dùng đăng nhập là alice@domain.com trong IDP, người dùng cũng đăng nhập với tên là alice@domain.com trong SP.

Ví dụ khác, Định danh liên tục được sử dụng khi người dùng không muốn sử dụng cùng số nhận dạng tên trong IDP và SP. Điều này có nghĩa là người dùng có thể đăng nhập như alice@idp.com trong IDP, nhưng đăng nhập với tên bob@sp.com trong SP. Điều này đạt được bằng cách sử dụng một định danh, chẳng hạn như 12345, đã được IDP và SP đồng ý, được ánh xạ tới alice@idp.com trong IDP và được ánh xạ tới bob@sp.com trong SP. Định danh liên tục hữu ích khi bạn không muốn SP biết tên định danh của người dùng trong IDP.