我是单点登录(SSO)概念的新手。我发现SAML请求和响应是实现SSO过程的最佳方式。然后我开始阅读有关SAML2.0的内容。我在saml2.0中遇到了一个名为 NameIdPolicy 的词,而saml1.0中没有。
定义说它是我们从IdP请求的NameID的格式。我想知道那种格式是什么?我的意思是来自IDP的数据应该以NameIDPolicy指定的格式出现?任何人都可以向我介绍这个NameIdPolicy概念吗?
答案 0 :(得分:17)
来自SAML 2.0 core spec, NameIDPolicy
指定用于表示请求主题的名称标识符的约束。如果省略, 然后可以使用身份提供者为所请求主题支持的任何类型的标识符, 例如,受隐私方面的任何相关特定部署政策的约束。
在执行身份联合时,关联方必须就委托人的关联帐户的标识符达成一致。标识符字符串称为 NameID ,其规范(包括格式)为 NameIDPolicy 。
例如,服务提供商(SP)通过向包含
的身份提供商(IDP)发送AuthnRequest来启动联盟。<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
这告诉IDP它的响应Assertion XML应该包含类似
的内容<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID>
其中电子邮件地址代表正在验证的主题。
您可以通过阅读SAML 2.0 Wikipedia page(精心编写),SAML 2.0 core spec和SAML 2.0 Name Identifier document了解更多信息。