SAML 2 IdP에 대해 authn을 수행 할 때 주체 이름 식별자는 무엇을위한 것입니까? 각 사용자 로그인을 추적합니까?SAML 2 주체 이름 식별자의 용도는 무엇입니까?
내 SAML 2 서비스 공급자 응용 프로그램이 다른 사용자에 대해이를 추적해야하는지 궁금합니다. 일시적이기 때문에 다른 로그인에 따라 다를 수 있습니다 (따라서 사용자 계정에 매달려있는 컬렉션을 사용하여 추적해야합니다).
<NameIdentifier> 요소는 SAML 1.1 개념입니다. 피사체를 식별하는 요소 인 <NameID>으로 대체되었습니다. NameID는 반드시 일시적 일 필요는 없습니다. SAML 2.0 코어의 8.3 절을 참조하십시오. specification
이름 식별자에는 여러 속성이 있습니다.
첫 번째 속성은 입니다. NameQualifier은 IDP에서 사용자의 보안 도메인을 지정합니다. 보안 도메인은 동일한 이름 식별자를 사용하는 여러 사용자를 모호하게하는 데 유용합니다.
두 번째 특성은 SPNameQualifier이며 SP에서 사용자의 보안 도메인을 지정합니다.
세 번째 특성은 형식이며 이름 식별자를 해석하는 방법을 지정합니다.
예 : 전자 메일 주소 IDP 및 SP에서 동일한 이름 식별자를 사용하려는 경우 이름 식별자 형식이 사용됩니다. 즉, 사용자가 IDP에서 [email protected]으로 로그인하면 SP의 [email protected]으로 로그인하게됩니다.
또 다른 예로, 사용자가 IDP 및 SP에서 동일한 이름 식별자를 사용하지 않으려는 경우 영구 식별자가 사용됩니다. 즉, 사용자는 IDP에서 [email protected]으로 로그인 할 수 있지만 SP에서는 [email protected]으로 로그인 할 수 있습니다. IDP와 SP가 합의한 12345와 같은 식별자를 사용하면 IDP의 [email protected]에 매핑되고 SP의 [email protected]에 매핑됩니다. 영구 식별자는 SP가 IDP에서 사용자의 이름 식별자를 알지 못하도록 할 때 유용합니다.