SAML 2 主题名称标识符的目的是什么? [英] What is the purpose of SAML 2 Subject Name Identifier?

问题描述

在对 SAML 2 IdP 进行身份验证时，主题名称标识符应该用于什么?它是否跟踪每个用户登录?

When doing authn against a SAML 2 IdP, what does the Subject Name Identifier supposed to be for? Does it track each user login?

我想知道我的 SAML 2 服务提供商应用程序是否应该为不同的用户跟踪这些.由于它们是暂时的，因此对于不同的登录，它们可能会有所不同(因此我需要使用挂在用户帐户上的集合进行跟踪).

I'm wondering if my SAML 2 service provider application should track these for different users. Since they are transient, they can be different for different logins (so I would need to track using a collection hanging off the user account).

推荐答案

Name Identifier 包含几个属性.

Name Identifier contains several attributes.

第一个属性是NameQualifier，它指定用户在IDP 的安全域.安全域可用于消除使用相同名称标识符的不同用户的歧义.

The first attribute is NameQualifier, which specifies the security domain of the user at the IDP. Security domain is useful to disambiguate different users that use the same name identifier.

第二个属性是SPNameQualifier，指定用户在SP的安全域.

The second attribute is SPNameQualifier, which specifies the security domain of the user at the SP.

第三个属性是 Format，它指定了名称标识符的解释方式.

The third attribute is Format, which specifies how the name identifier should be interpreted.

例如，当用户希望在 IDP 和 SP 中使用相同的名称标识符时，使用 电子邮件地址 名称标识符格式.这意味着如果用户在 IDP 中以 alice@domain.com 登录，则用户在 SP 中也以 alice@domain.com 登录.

For example, Email Address name identifier format is used when the user wants to use the same name identifier in IDP and SP. This means that if the user is login as alice@domain.com in IDP, the user is also login as alice@domain.com in SP.

另一个例子，当用户不想在 IDP 和 SP 中使用相同的名称标识符时，使用 Persistent Identifier.这意味着用户可以在 IDP 中以 alice@idp.com 登录，但在 SP 中以 bob@sp.com 登录.这是通过使用IDP和SP同意的标识符(例如12345)来实现的，该标识符在IDP中映射到alice@idp.com，在SP中映射到bob@sp.com.当您不希望 SP 知道 IDP 中用户的名称标识符时，持久标识符很有用.

Another example, Persistent Identifier is used when the user does not want to use the same name identifier in IDP and SP. This means that a user can login as alice@idp.com in IDP, but login as bob@sp.com in SP. This is achieved by using an identifier, such as 12345, agreed by IDP and SP, which is mapped to alice@idp.com in IDP and mapped to bob@sp.com in SP. Persistent Identifier is useful when you do not want the SP to know the name identifier of the user in IDP.

这篇关于SAML 2 主题名称标识符的目的是什么?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！