dan*_*wig 9 saml shibboleth single-sign-on saml-2.0
在针对SAML 2 IdP执行authn时,主题名称标识符应该用于什么?它是否跟踪每个用户登录?
我想知道我的SAML 2服务提供商应用程序是否应该为不同的用户跟踪这些.由于它们是瞬态的,因此对于不同的登录可能会有所不同(因此我需要使用挂起用户帐户的集合进行跟踪).
小智 7
名称标识符包含多个属性.
第一个属性是NameQualifier,它指定IDP处用户的安全域.安全域可用于消除使用相同名称标识符的不同用户的歧义.
第二个属性是SPNameQualifier,它指定SP上用户的安全域.
第三个属性是Format,它指定如何解释名称标识符.
例如,当用户想要在IDP和SP中使用相同的名称标识符时,使用电子邮件地址名称标识符格式.这意味着如果用户在IDP中以alice@domain.com身份登录,则该用户也将在SP中以alice@domain.com身份登录.
另一个例子是,当用户不想在IDP和SP中使用相同的名称标识符时,使用持久标识符.这意味着用户可以在IDP中以alice@idp.com身份登录,但在SP中以bob@sp.com身份登录.这是通过使用由IDP和SP同意的标识符(例如12345)来实现的,该标识符映射到IDP中的alice@idp.com并映射到SP中的bob@sp.com.当您不希望SP知道IDP中用户的名称标识符时,持久标识符很有用.
| 归档时间: |
|
| 查看次数: |
12592 次 |
| 最近记录: |