gpt4 book ai didi

claims-based-identity - nameidentifier 声明的目的是什么?

转载 作者:行者123 更新时间:2023-12-03 05:29:37 25 4
gpt4 key购买 nike

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier 类型的声明应该用于什么用途?

这是主要问题,这里是其他问题。

它与http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name声明有何不同?

与名称声明相比,它对于特定用户来说是永久性的吗?

它是全局范围的还是 IdP 范围的?

最佳答案

Name,只是一个名字。如果我们谈论人,请想想“Eric”;服务器“file01”。

NameIdentifier 是对象的 ID。回到我们的 person 对象,Eric 的 UserID 在您的数据库中可能是 435。对于服务器来说,标识符可以是 FQDN 或 SID 之类的东西。

根据this post ,显然名称标识符是 SAML 1.1 属性,并且在 SAML 2.0 中被 NameID 取代。

是否唯一?

我想回应@Jason 的评论和@nzpcmad 的帖子。我不认为独特性是一个明确的要求。该问题被标记为 但引用的模式归 OASIS 所有。这些是我们需要平衡的两方解释。

Microsoft 对 ADFS 的立场显然是存在独特的要求。我们在“The Role of Claims”文章中看到了这一点。毫无疑问,ADFS 投下了很大的阴影,但这似乎是一个实现细节。

查看SAML 1.1 spec然而,我看不到这样的说法。我们在规范第 2.4.2.2 节中得到的最接近的是:

The element specifies a subject by a combination of a name qualifier, a name, and a format. The element has the following attributes:
...
NameQualifier[optional] The security or administrative domain that qualifies the name of the subject. This attribute provides a means to federate names from disparate user stores without collision.

规范的文本告诉我,我需要能够使用这三个属性的组合来找到一个人,但它没有断言独特性。我不能有两个条目指向同一用户吗?似乎如此。此外,规范是否会表明在 NameIdentifier 不足以唯一标识名称的情况下需要 NameQualifier 属性?

那么这一切会导致什么呢?

  • 小心,unqiue 可能更安全。
  • 深入了解您的提供商对该主题的立场。

关于claims-based-identity - nameidentifier 声明的目的是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5814017/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com