#azure #saml #saml-2.0 #upn
#лазурный #самл #saml-2.0 #upn
Вопрос:
У нас есть следующие форматы идентификаторов имен на выбор.
- неопределенный
- Адрес электронной почты
- X509SubjectName Имя объекта
- Квалифицированное имя домена WindowsDomain
- керберос
- сущность
- настойчивый
- преходящий
Если мне нужно, чтобы значение UPN пользователя было возвращено моим IDP (скажем, Azure или ADFS и т.д.), какой формат идентификатора имени я должен выбрать? Должен ли я настроить свой IDP на отправку значения UPN с «неуказанным» в качестве формата nameid или мне следует выбрать постоянный? Или есть какой-либо другой рекомендуемый формат nameid для отправки / запроса UPN?
Комментарии:
1. Вы не должны использовать
transient, так как это нарушило бы спецификацию SAML, когда вы заполняете ее непрозрачным значением. Однако большинство реализаций SP не выполняют проверку данных для значения NameID (возможно, потому, что оно не указано в правилах обработки)
Ответ №1:
Поймите, что как ИП вы, как правило, определяете контракт, необходимый для использования вашего сервиса. Редко есть причина не использовать unspecified, если только ваш инструмент федерации не поддерживает некоторую автоматическую проверку атрибута на соответствие определению формата.
Даже если ваш инструмент поддерживает эту проверку, это не освобождает от необходимости выполнять собственную проверку данных.
Таким образом, я бы выбрал неуказанный. Он обеспечивает наибольшую гибкость.