SAML NameId政策

时间:2012-04-11 04:30:40

标签: saml

我是单点登录(SSO)概念的新手。我发现SAML请求和响应是实现SSO过程的最佳方式。然后我开始阅读有关SAML2.0的内容。我在saml2.0中遇到了一个名为 NameIdPolicy 的词,而saml1.0中没有。

定义说它是我们从IdP请求的NameID的格式。我想知道那种格式是什么?我的意思是来自IDP的数据应该以NameIDPolicy指定的格式出现?任何人都可以向我介绍这个NameIdPolicy概念吗?

1 个答案:

答案 0 :(得分:17)

来自SAML 2.0 core spec NameIDPolicy

指定用于表示请求主题的名称标识符的约束。如果省略, 然后可以使用身份提供者为所请求主题支持的任何类型的标识符, 例如,受隐私方面的任何相关特定部署政策的约束。

在执行身份联合时,关联方必须就委托人的关联帐户的标识符达成一致。标识符字符串称为 NameID ,其规范(包括格式)为 NameIDPolicy

例如,服务提供商(SP)通过向包含

的身份提供商(IDP)发送AuthnRequest来启动联盟。
<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />

这告诉IDP它的响应Assertion XML应该包含类似

的内容
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID>

其中电子邮件地址代表正在验证的主题。

您可以通过阅读SAML 2.0 Wikipedia page(精心编写),SAML 2.0 core specSAML 2.0 Name Identifier document了解更多信息。