Об этом, я думаю, вы можете сослаться на http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html.
Вот мое понимание этого, а также вариант использования Identity Federation, чтобы дать подробную информацию об этих концепциях:
- Постоянные идентификаторы-
IdP предоставляет постоянные идентификаторы, они используются для привязки к локальным учетным записям в SP, но каждый из них идентифицируется как профиль пользователя для конкретной службы. Например, постоянные идентификаторы вроде: johnForAir, jonhForCar, johnForHotel, все они только для одной указанной службы, поскольку она должна ссылаться на свою локальную идентификацию в службе.
- Временные идентификаторы-
Временные идентификаторы — это то, что IdP сообщает SP, что пользователям в сеансе был предоставлен доступ к ресурсу на SP, но идентификаторы пользователей фактически не предлагаются SP. Например, утверждение точно такое же, как «Анонимность (Idp не сообщает SP, кто он такой) имеет разрешение на доступ к / ресурсу на SP». SP получил его и разрешил браузеру получить к нему доступ, но до сих пор не знает настоящего имени Anonymity.
- неуказанные идентификаторы-
Объяснение этого в спецификации: «Интерпретация содержимого элемента оставлена на усмотрение отдельных реализаций». Это означает, что IdP определяет для него реальный формат и предполагает, что SP знает, как анализировать данные формата, полученные от IdP. Например, IdP предоставляет данные формата «UserName=XXXXX Country=US», SP получает утверждение и может анализировать его и извлекать имя пользователя «XXXXX».
person
Ron
schedule
12.06.2017