Wofür http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
sollte der Typanspruch verwendet werden?
Dies ist die Hauptfrage, und hier sind weitere.
Wie unterscheidet es sich von http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Anspruch?
Ist es für einen bestimmten Benutzer dauerhaft und nicht für einen Namensanspruch?
Ist es global oder IdP?
claims-based-identity
adfs2.0
federated-identity
Anthony Serdyukov
quelle
quelle
Antworten:
Name
ist nur das ein Name. Wenn wir über eine Person sprechen, denken Sie an "Eric". ein Server "file01".A
NameIdentifier
ist die ID für ein Objekt. Zurück zu unserem Personenobjekt: Erics Benutzer-ID befindet sich möglicherweise in Ihrer Datenbank. Für den Server kann der Bezeichner so etwas wie ein FQDN oder eine SID sein.Laut diesem Beitrag war Name Identifier anscheinend eine SAML 1.1-Eigenschaft und wird
NameID
in SAML 2.0 ersetzt.Einzigartig oder nicht?
Ich wollte @ Jasons Kommentar und @ nzpcmads Beitrag ansprechen. Ich sehe Einzigartigkeit nicht als eindeutige Anforderung. Die Frage ist markiertadfs2.0Das Schema, auf das verwiesen wird, gehört jedoch OASIS. Das sind also die Interpretationen der beiden Parteien, die wir ausbalancieren müssen.
Die Haltung von Microsoft zu ADFS ist eindeutig, dass es eine einzigartige Anforderung gibt. Wir sehen das im Artikel " Die Rolle der Ansprüche ". Zweifellos wirft ADFS einen großen Schatten, aber dies scheint ein Implementierungsdetail zu sein.
Wenn ich mir die SAML 1.1-Spezifikation anschaue , sehe ich jedoch keine solche Behauptung. Das nächste, was wir in Abschnitt 2.4.2.2 der Spezifikation erhalten, ist:
Der Text der Spezifikation sagt mir, dass ich in der Lage sein muss, eine Person zu finden, die eine Kombination der drei Attribute verwendet, aber es gibt keine Aussage über die Einzigartigkeit. Könnte ich nicht zwei Einträge haben, die auf denselben Benutzer verweisen? Scheint so. Würde die Spezifikation nicht auch angeben, dass das
NameQualifier
Attribut in Fällen erforderlich war, in denenNameIdentifier
die eindeutige Identifizierung des Namens nicht ausreichte?Wozu führt das alles?
quelle
Nach der Rolle der Ansprüche ,
Name Der eindeutige Name des Benutzers
Namenskennung Die SAML-Namenskennung des Benutzers
Diese beiden Ansprüche gehören zu der Gruppe von Ansprüchen, die AD FS 2.0 standardmäßig konfiguriert.
Dies bedeutet, dass sie einen IP-Gültigkeitsbereich haben.
Wenn Sie sich beispielsweise mit ACS bei Google anmelden, ist "nameidentifier" die eindeutige GUID, die Google Ihrem Konto zuordnet, während der Name Ihr Google-Login ist, z. B. "[email protected]".
quelle
ClaimTypes.Name
ist für den Benutzernamen undClaimTypes.NameIdentifier
gibt die Identität des Benutzers als Objektperspektive an. Wenn Sie sie in eine ArtClaimIdentity
ObjektUser.Identity
einfügen , mit dem Sie Methoden erreichen können (z. B. in der Dotnet-Welt), dieGetUserName()
und sindGetUserId()
.quelle
Der
nameidentifier
Anspruch sollte verwendet werden, um einen eindeutigen Benutzernamen zu erhalten.Für die Windows-Authentifizierung:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier domain \ warlock
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 0 # .w | domain \ warlock
domain \ warlock ist ein Windows-Anmeldename
Für anspruchsbasierte Authentifizierung:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier [email protected]
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 05.t|myidentityprovider|[email protected]
E-Mail wurde als Identifier Claim angegeben
Wie Sie sehen können
.../identity/claims/name
, werden auch Name und Identität des Anbieters beschrieben.quelle