我不熟悉单点登录 (SSO) 的概念。我开始知道 SAML 请求和响应是实现 SSO 流程的最佳方式。然后我开始阅读有关 SAML2.0 的信息。我在 saml2.0 中遇到了一个术语 NameIdPolicy,而在 saml1.0 中没有。
定义说这是我们从 IdP 请求的 NameID 的格式。我想知道该格式是什么?我的意思是来自 IDP 的哪些数据应该采用 NameIDPolicy 指定的格式?谁能简要介绍一下这个 NameIdPolicy 概念?
【问题讨论】:
标签: saml
来自SAML 2.0 core spec,NameIDPolicy
指定对用于表示请求主题的名称标识符的约束。如果省略, 然后可以使用身份提供者支持的所请求主题的任何类型的标识符, 受限于任何相关的特定于部署的政策,例如隐私。
在执行身份联合时,关联方必须就委托人关联账户的标识符达成一致。标识符字符串称为 NameID,其规范(包括格式)是 NameIDPolicy。
例如,服务提供者 (SP) 通过向身份提供者 (IDP) 发送 AuthnRequest 来发起联合,其中包含
<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
这告诉 IDP 它的响应断言 XML 应该包含类似
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID>
电子邮件地址代表正在验证的主题。
您可以通过阅读SAML 2.0 Wikipedia page(写得很好)、SAML 2.0 core spec 和SAML 2.0 Name Identifier document 了解更多信息。
【讨论】: