Для чего используются разные форматы NameID?

См. раздел 8.3 этого основного файла SAML. спецификации oasis SAML.

SP и IdP обычно сообщают друг другу о предмете. Этот субъект должен быть идентифицирован с помощью NAME-IDentifier , который должен быть в некотором формате, чтобы другой стороне было легко идентифицировать его на основе формата.

Все эти

1.urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified [default]

2.urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

3.urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

4.urn:oasis:names:tc:SAML:2.0:nameid-format:transient

являются форматом для идентификаторов имен.

Формат имени временного идентификатора в SAML 1: urn:mace:shibboleth:1.0:nameIdentifier и в SAML 2 это urn:oasis:names:tc:SAML:2.0:nameid-format:transient

Transient предназначен для [раздела 8.3.8 Ядро SAML]

Указывает, что содержимое элемента является идентификатором с переходной семантикой и ДОЛЖНО рассматриваться проверяющей стороной как непрозрачное и временное значение.

Можно использовать Unspecified, и это зависит исключительно от реализации сущностей по их собственному желанию.

Об этом, я думаю, вы можете сослаться на http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html.

Вот мое понимание этого, а также вариант использования Identity Federation, чтобы дать подробную информацию об этих концепциях:

• Постоянные идентификаторы-

IdP предоставляет постоянные идентификаторы, они используются для привязки к локальным учетным записям в SP, но каждый из них идентифицируется как профиль пользователя для конкретной службы. Например, постоянные идентификаторы вроде: johnForAir, jonhForCar, johnForHotel, все они только для одной указанной службы, поскольку она должна ссылаться на свою локальную идентификацию в службе.

• Временные идентификаторы-

Временные идентификаторы — это то, что IdP сообщает SP, что пользователям в сеансе был предоставлен доступ к ресурсу на SP, но идентификаторы пользователей фактически не предлагаются SP. Например, утверждение точно такое же, как «Анонимность (Idp не сообщает SP, кто он такой) имеет разрешение на доступ к / ресурсу на SP». SP получил его и разрешил браузеру получить к нему доступ, но до сих пор не знает настоящего имени Anonymity.

• неуказанные идентификаторы-

Объяснение этого в спецификации: «Интерпретация содержимого элемента оставлена ​​​​на усмотрение отдельных реализаций». Это означает, что IdP определяет для него реальный формат и предполагает, что SP знает, как анализировать данные формата, полученные от IdP. Например, IdP предоставляет данные формата «UserName=XXXXX Country=US», SP получает утверждение и может анализировать его и извлекать имя пользователя «XXXXX».

Это всего лишь подсказка поставщику услуг о том, чего ожидать от NameID, возвращаемого поставщиком удостоверений. Может быть:

1. unspecified
2. emailAddress – e.g. [email protected]
3. X509SubjectName – e.g. CN=john,O=Company Ltd.,C=US
4. WindowsDomainQualifiedName – e.g. CompanyDomain\John
5. kerberos– e.g. john@realm
6. entity — используется для идентификации объектов, предоставляющих услуги на основе SAML, и выглядит как URI.
7. persistent – это непрозрачный идентификатор службы, который должен включать псевдослучайное значение и не должен быть отслежен до фактического пользователя, поэтому это функция конфиденциальности.
8. transient – непрозрачный идентификатор, который следует рассматривать как временный.

1 и 2 относятся к SAML 1.1, потому что эти URI были частью стандарта OASIS SAML 1.1. Раздел 8.3 связанного PDF-файла для стандарта OASIS SAML 2.0 объясняет следующее:

Там, где это возможно, для указания протокола используется существующий URN. В случае протоколов IETF используется URN самого последнего RFC, в котором указан протокол. Ссылки URI, созданные специально для SAML, имеют одну из следующих основ в соответствии с версией набора спецификаций, в которой они были впервые представлены:

urn:oasis:names:tc:SAML:1.0:
urn:oasis:names:tc:SAML:1.1:
urn:oasis:names:tc:SAML:2.0: