根据SAML 2.0规范,NameQualifier元素中的NameID属性是“限定名称的安全或管理域。此属性提供了一种方法,可以从不同的用户存储中联合名称而无需碰撞。”
我的问题是:“不同的用户存储”可以在同一IDP内吗?如果是这样,假设Format的{{1}}为NameID,IDP是否有权在名称限定符中发送任何内容,只要它对每个数据存储区都是唯一的?
这是否意味着为了让SP(前提是它接收到来自不同IDP的请求)实现唯一性,它必须考虑远程实体ID,urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified和NameQualifier的值?