#saml-2.0
#saml-2.0
Вопрос:
До сих пор я использовал OpenID-connect и теперь хотел бы понять, как работает saml.
Я не уверен, как и где определяются утверждения SAML. Я знаю, что это часть реакции ВПЛ. Но возможно ли, чтобы ServiceProvider запрашивал конкретные данные (например, утверждения через oidc) пользователя?
Допустим, у пользователя есть идентификатор, имя, фамилия и адрес электронной почты. Возможно ли, чтобы поставщик услуг просто запросил подмножество этой информации? Или эти требования определены для Idp и, возможно, даже ограничены для каждого поставщика услуг? Наихудшим случаем, о котором я могу подумать, было бы то, что Idp всегда возвращает всю информацию о пользователе поставщику услуг…
Ответ №1:
Обычно они настраиваются на IDP.
В ADFS, например, они определяются правилами претензий для IDP.
В SAML есть «специальное» утверждение под названием NameID, которое является обязательным.
По сути, он действует как первичный ключ, сопоставляющий две системы вместе.
Комментарии:
1. tyvm, это очень помогло мне лучше понять saml:D!