Quel est le but de la revendication de l’identifiant?

A quoi devrait servir la revendication de type http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier ?

C’est la question principale, et voici des questions supplémentaires.

En quoi diffère-t-il de http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name ?

Est-ce permanent pour un utilisateur particulier par opposition à une revendication de nom?

S’agit-il d’une scope globale ou d’une scope IdP?

    Name , c’est juste un nom. Si nous parlons personne, pense “Eric”; un serveur “file01”.

    Un NameIdentifier est l’identifiant d’un object. En revenant à notre object personne, l’ID utilisateur d’Eric pourrait être 435 dans votre firebase database. Pour le serveur, l’identifiant peut être quelque chose comme un nom de domaine complet ou un identifiant de sécurité.

    Selon cet article , l’identificateur de nom est apparemment une propriété SAML 1.1 et est remplacé par NameID dans SAML 2.0.

    Unique ou pas?

    Je voulais aborder le commentaire de @ Jason et le post de @ nzpcmad. Je ne vois pas l’unicité comme une exigence claire. La question est balisée adfs2.0 mais le schéma référencé appartient à OASIS. Ce sont donc les interprétations des deux parties que nous devons équilibrer.

    La position de Microsoft pour ADFS est clairement qu’il y a une exigence unique. Nous voyons cela dans l’article ” The Role of Claims “. Il ne fait aucun doute qu’ADFS crée une grande ombre, mais cela semble être un détail d’implémentation.

    En regardant la spécification SAML 1.1 , je ne vois aucune assertion de ce type. La section la plus proche de la section 2.4.2.2 de la spécification est la suivante:

    L’élément spécifie un sujet par une combinaison d’un qualificatif de nom, d’un nom et d’un format. L’élément possède les atsortingbuts suivants:

    NameQualifier [facultatif] Domaine de sécurité ou administratif qualifiant le nom du sujet. Cet atsortingbut permet de fédérer des noms de magasins d’utilisateurs disparates sans collision.

    Le texte de la spécification me dit que je dois être capable de trouver une personne en utilisant une combinaison des trois atsortingbuts, mais elle ne fait aucune affirmation quant à l’unicité. Est-ce que je ne pourrais pas avoir deux entrées qui pointent vers le même utilisateur? Semble si. De plus, la spécification n’indiquerait-elle NameQualifier atsortingbut NameQualifier était requirejs dans les cas où NameIdentifier était insuffisant pour identifier de manière unique le nom?

    Alors, à quoi cela mène-t-il?

    • Attention, unqiue est probablement plus sûr.
    • Découvrez la position de votre fournisseur sur le sujet.

    Par le rôle des revendications ,

    Nom Le nom unique de l’utilisateur

    Identifiant du nom Identifiant du nom SAML de l’utilisateur

    Ces deux revendications font partie du groupe de revendications qu’AD FS 2.0 configure par défaut.

    Cela implique qu’ils sont définis sur IP.

    Par exemple, lorsque vous vous connectez à Google en utilisant ACS, “identificateur de nom” est le GUID unique associé à votre compte Google, tandis que le nom correspond à votre identifiant Google, par exemple “[email protected]”.

    ClaimTypes.Name est pour UserName et ClaimTypes.NameIdentifier spécifie l’identité de l’utilisateur. Si vous les ajoutez dans l’object ClaimIdentity qui vous permet d’accéder User.Identity méthodes User.Identity qui sont GetUserName() et GetUserId() .

    La revendication nameidentifier doit être utilisée pour obtenir un nom d’utilisateur unique.

    Pour l’authentification Windows:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier domaine \ warlock

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 0 # .w | domaine \ warlock

    domain \ warlock est un nom d’utilisateur Windows

    Pour l’authentification basée sur les réclamations:

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier [email protected]

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 05.t|myidentityprovider|[email protected]

    le courrier électronique a été spécifié en tant que réclamation d’identifiant

    Comme vous pouvez le voir .../identity/claims/name décrit également le nom et le fournisseur d’identité.