Quel est le but de la revendication nameidentifier?
dans quel cas la revendication de type http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier doit-elle être utilisée?
C'est la question principale, et en voici d'autres.
en quoi diffère-t-elle de la revendication http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name ?
est-il permanent pour un utilisateur particulier par opposition à la revendication de nom?
est-il de portée mondiale ou de portée IdP?
4 réponses
Name , c'est juste un nom. Si nous parlons de personne, pensez à "Eric"; un serveur"file01".
Un NameIdentifier est l'ID d'un objet. Pour en revenir à notre objet personnel, L'identifiant D'Eric pourrait être 435 dans votre base de données. Pour le serveur, L'identifiant peut être un peu comme un FQDN ou un SID.
Selon ce post , apparemment Nom de l'Identificateur a été SAML 1.1 de la propriété, et est en train d'être supplanté par NameID en SAML 2.0.
Unique ou pas?
je voulais parler du commentaire de @Jason et du billet de @nzpcmad. Je ne vois pas l'unicité comme clairement l'exigence. La question est étiquetée adfs2.0 mais le schéma référencé est la propriété D'OASIS. Ce sont donc les deux interprétations des parties que nous devons équilibrer.
la position de Microsoft pour ADFS est clairement qu'il ya une exigence unique. Nous voyons que dans le " Le Rôle des Réclamations " de l'article. Il ne fait aucun doute que L'ADFS projette une grande ombre, mais cela ressemble à un détail de mise en œuvre.
en regardant le SAML 1.1 spec , cependant, je ne vois pas une telle affirmation. Le plus proche que nous obtenons dans la section 2.4.2.2 de spec est:
L'élément spécifie un objet par une combinaison d'une qualificateur de nom, un nom et un format. L'élément a la suite attributs:
...
NameQualifier[optionnel] le domaine de sécurité ou administratif qui qualifie le nom du sujet. Cet attribut fournit un moyen pour fédérer les noms de magasins utilisateurs disparates sans collision.
le texte de la spécification me dit que je dois pouvoir trouver une personne en utilisant une combinaison des trois attributs, mais il ne fait aucune affirmation quant à l'unicité. Je n'ai pas pu deux entrées qui pointent vers le même utilisateur? Semble donc. De plus, la spécification n'indiquerait-elle pas que l'attribut NameQualifier était requis dans les cas où NameIdentifier était insuffisant pour identifier de façon unique le nom?
alors qu'est-ce que tout ça mène?
- soyez prudent, unqiue est probablement plus sûr.
- creusez dans la position de vos fournisseurs sur le sujet.
Par Le Rôle des Réclamations ,
nom Le nom unique de l'utilisateur
Identificateur De Nom L'Identificateur de nom SAML de l'utilisateur
ces deux revendications font partie du groupe de revendications que L'AD FS 2.0 configure par défaut.
cela implique qu'ils sont IP scoped.
par exemple, lorsque vous vous connectez à Google en utilisant ACS, "nameidentifier" est le GUID unique associé à votre compte par Google alors que le nom est votre connexion Google par exemple "tim.smith@gmail.com".
ClaimTypes.Name est pour nom D'Utilisateur et ClaimTypes.NameIdentifier spécifie l'identité de l'utilisateur. Si vous les ajoutez dans ClaimIdentity objet qui vous permet d'atteindre User.Identity méthodes GetUserName() et GetUserId() .
la revendication nameidentifier doit être utilisée pour obtenir un nom d'utilisateur unique.
Pour L'Authentification Windows:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier domaine\sorcier
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 0#.w|domaine\sorcier
domain\warlock est un Windows Nom d'utilisateur
Pour L'Authentification Fondée Sur Les Revendications:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier warlock@localhost.com
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 05.t/myidentityprovider/warlock@localhost.com
email a été spécifié comme la demande D'identification
comme vous pouvez le voir .../identity/claims/name décrit le nom et le fournisseur d'identité ainsi.