SAML NameId Policy

Question

Soy nuevo en el concepto de Single Sign On (SSO). Llegué a saber que la solicitud y respuesta de SAML es la mejor manera de lograr el proceso de SSO. Luego comencé a leer acerca de SAML2.0. Encontré un término NameIdPolicy en saml2.0 que no estaba allí en saml1.0.

Las definiciones dicen que es el formato del NameID que solicitamos a IdP.¿Quiero saber qué formato es ese? Me refiero a qué datos de IDP deberían venir en el formato especificado por NameIDPolicy? ¿Alguien puede informarme sobre este concepto de NameIdPolicy?

Answer 1

Desde el SAML 2.0 core spec, la NameIDPolicy

Especifica restricciones en el identificador de nombre que se utilizará para representar el tema solicitado. Si se omite, , entonces se puede usar cualquier tipo de identificador compatible con el proveedor de identidad para el sujeto solicitado, restringido por cualquier política relevante de implementación relevante, con respecto a la privacidad, por ejemplo.

Al realizar la federación de identidades, las partes afiliadas deben acordar un identificador para las cuentas vinculadas del principal. La cadena de identificador se llama NameID y su especificación, incluido el formato, es NameIDPolicy.

Por ejemplo, un proveedor de servicios (SP) inicia la federación enviando un AuthnRequest al proveedor de identidad (IDP) que contiene

<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> 

Esto le dice al PDI que su afirmación de respuesta XML debe contener algo así como

<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID> 

donde la dirección de correo electrónico representa el asunto que se está autenticando.

Puede obtener más información leyendo SAML 2.0 Wikipedia page (bien escrito), SAML 2.0 core spec y SAML 2.0 Name Identifier document.