在OASIS规范中,我可以阅读以下有效的nameid格式:
但找不到urn:oasis:names:tc:SAML:2.0:nameid-format:emailAddress。
如果我进行快速谷歌搜索,此格式会多次出现,包括Cisco Spark的文档。
有人可以向我澄清这个问题吗?似乎有人发明了这种名称格式,现在使用它发明了一些IdP / SP。
答案 0 :(得分:7)
@smartin - 您似乎在OneLogin工作,我最近提交了一张关于此的门票:-)。我认为你的预感是正确的;有人看到有一个SAML 1.1和一个SAML 2.0,并认为urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress中的1.1是错误的。
规范文件的第8节在开头提到:
以下部分定义公共资源访问操作,主题名称标识符格式和属性名称格式的基于URI的标识符。在可能的情况下,现有的URN用于指定协议。在IETF协议的情况下,使用指定协议的最新RFC的URN。根据首次引入它们的规范集版本,专门为SAML创建的URI引用具有以下词干之一:
urn:oasis:names:tc:SAML:1.0: urn:oasis:names:tc:SAML:1.1: urn:oasis:names:tc:SAML:2.0:
http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf
由于电子邮件地址标识符已在SAML v1.1中引入,这是有意义的。查看第7节介绍和7.3.2(https://www.oasis-open.org/committees/download.php/3406/oasis-sstc-saml-core-1.1.pdf)。
因此,tl; dr:urn:oasis:names:tc:SAML:2.0:nameid-format:emailAddress与SAML 1.1和SAML 2.0规范相冲突。