SAML 名称 ID 策略 [英] SAML NameId Policy
问题描述
我不熟悉单点登录 (SSO) 的概念.我开始知道 SAML 请求和响应是实现 SSO 过程的最佳方式.然后我开始阅读有关 SAML2.0 的内容.我在 saml2.0 中遇到了一个术语 NameIdPolicy,而 saml1.0 中没有.
定义说这是我们从 IdP 请求的 NameID 的格式.我想知道这种格式是什么?我的意思是来自 IDP 的哪些数据应该采用 NameIDPolicy 指定的格式?谁能向我简要介绍一下 NameIdPolicy 概念?
I am new to the concept of Single Sign On(SSO). I came to know that SAML request and response is the best way to achieve SSO process. I then started reading about SAML2.0. I came around a term NameIdPolicy in saml2.0 which was not there in saml1.0.
Definitions say that It is the format of the NameID we request from the IdP.I want to know what is that format is? I mean what data from IDP should come in the format NameIDPolicy specify? Can anyone brief me on this NameIdPolicy concept?
推荐答案
来自 SAML 2.0 核心规范,NameIDPolicy
指定对用于表示请求主题的名称标识符的约束.如果省略,然后可以使用身份提供者为请求的主题支持的任何类型的标识符,受到任何相关的特定于部署的政策的约束,例如隐私.
在执行身份联合时,关联方必须就委托人关联账户的标识符达成一致.标识符字符串称为 NameID,其规范(包括格式)是 NameIDPolicy.
When performing identity federation, the affiliated parties must agree upon an identifier for the principal's linked accounts. The identifier string is called a NameID and its specification, including format, is the NameIDPolicy.
例如,服务提供者 (SP) 通过向身份提供者 (IDP) 发送 AuthnRequest 来发起联合
For example, a Service Provider (SP) initiates federation by sending an AuthnRequest to the Identity Provider (IDP) containing
<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
这告诉 IDP 它的响应 Assertion XML 应该包含类似的内容
This tells the IDP that its response Assertion XML should contain something like
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID>
其中电子邮件地址代表正在验证的主题.
where the email address represents the subject being authenticated.
您可以通过阅读 SAML 2.0 维基百科页面(写得很好)、SAML 2.0 核心规范 和 SAML 2.0 名称标识符文档.
You can learn more by reading SAML 2.0 Wikipedia page (well-written), the SAML 2.0 core spec and the SAML 2.0 Name Identifier document.
这篇关于SAML 名称 ID 策略的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
