Name
, це просто назва. Якщо ми говоримо про людину, подумайте "Ерік"; сервер "file01".
A NameIdentifier
- це ідентифікатор об'єкта. Повертаючись до об’єкта нашої особи, у вашій базі даних Еріка UserID може бути 435. Для сервера ідентифікатором може бути щось на зразок повного доменного імені або SID.
Згідно з цим повідомленням , очевидно Ідентифікатор імені був властивістю SAML 1.1, і його витісняєNameID
SAML 2.0.
Унікальний чи ні?
Я хотів звернутися до коментаря @ Jason та допису @ nzpcmad. Я не бачу унікальність як чітку вимогу. Питання позначено тегамиadfs2.0але схема, на яку посилається, належить OASIS. Отже, це ті дві інтерпретації сторін, які нам потрібно збалансувати.
Позиція Microsoft щодо ADFS очевидно, що існує унікальна вимога. Ми бачимо це в " Ролі претензій ". Без сумніву, ADFS кидає велику тінь, але це здається деталлю реалізації.
Однак, дивлячись на специфікацію SAML 1.1 , я не бачу такого твердження. Найближче до розділу 2.4.2.2 специфікації:
Елемент визначає предмет за допомогою комбінації кваліфікатора імені, імені та формату. Елемент має такі атрибути:
...
NameQualifier [необов’язково] Захист або адміністративний домен, який відповідає імені теми. Цей атрибут забезпечує спосіб об'єднання імен з різних сховищ користувачів без зіткнень.
Текст специфікації говорить мені, що мені потрібно мати можливість знайти людину, використовуючи комбінацію з трьох атрибутів, але це не робить твердження про унікальність. Чи не міг би я мати два записи, які вказують на одного і того ж користувача? Здається так. Більше того, чи "специфікація вказує, що NameQualifier
атрибут потрібен у випадках, коли NameIdentifier
недостатньо для однозначної ідентифікації імені?
То до чого це все призводить?
- Будьте обережні, незрозуміле, швидше за все, безпечніше.
- Пориньте у позиції своїх постачальників щодо даної теми.