推荐的 NameIdFormat 用于在 SAML 中使用用户主体名称 (UPN) 作为 NameId

【问题标题】:Recommended NameIdFormat for using User Principle Name (UPN) as NameId in SAML推荐的 NameIdFormat 用于在 SAML 中使用用户主体名称 (UPN) 作为 NameId
【发布时间】:2021-01-04 12:56:01
【问题描述】:

我们有以下名称 ID 格式可供选择。

  • 未指定
  • 电子邮件地址
  • X509SubjectName
  • WindowsDomainQualifiedName
  • kerberos
  • 实体
  • 持久
  • 瞬态

如果我需要我的 IDP(比如 Azure 或 ADFS 等)返回用户的 UPN 值,我应该选择哪种 nameid 格式?我应该将 IDP 配置为使用“未指定”作为 nameid 格式发送 UPN 值,还是应该选择持久化?或者是否有其他推荐的 nameid 格式用于发送/请求 UPN?

【问题讨论】:

  • 您不能使用transient,因为当您使用非透明值填充它时,它会违反 SAML 规范。但是大多数 SP 实现不会对 NameId 的值执行数据验证(可能是因为它没有在处理规则中指定)

标签: azure saml saml-2.0 upn


【解决方案1】:

了解作为 SP,您通常定义使用您的服务所需的合同。很少有理由使用未指定的,除非您的联合工具支持针对格式定义对属性进行某种自动验证。

即使您的工具确实支持该验证,也不能免除您自己验证数据的责任。

因此,我会选择未指定。它提供了最大的灵活性。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-11-05
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode