我开始使用联盟实施SAML2身份验证。其中一个要求是联盟需要向NameId发送回持久值,这是因为它是我在用户使用SAML2 SSO登录到Web应用程序时识别的密钥之一。
我正准备使用<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>,但是我们将用于连接到组织的联盟支持之一阻止我使用电子邮件地址nameid。我没有机会问为什么?有没有理由说电子邮件地址不是用于SAML2的NameIdFormat的最佳选择?
答案 0 :(得分:1)
在AD中,可以跨两个帐户复制电子邮件。唯一性没有限制。
这取决于用例。如果它是公司的,它很少会改变。如果它是公开的,那就会有更多的流失。
UPN可能是更好的选择。