wif - sirve - ¿Cuál es el propósito del reclamo del identificador de nombre?
para que sirve el name en el input (4)
¿Para qué se debe usar el reclamo de tipo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
?
Esta es la pregunta principal, y aquí hay otras preguntas adicionales.
¿En qué se diferencia del reclamo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
?
¿Es permanente para un usuario particular en lugar de un reclamo de nombre?
¿Tiene un alcance global o un alcance IdP?
La declaración de nameidentifier
debe usarse para obtener un nombre de usuario único.
Para la Autenticación de Windows:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier domain / warlock
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 0 # .w | domain / warlock
domain / warlock es un nombre de inicio de sesión de Windows
Para la autentificación basada en reclamos:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier [email protected]
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 05.t|myidentityprovider|[email protected]
el correo electrónico se especificó como el reclamo de identificador
Como puede ver .../identity/claims/name
describe el nombre y el proveedor de identidad.
Por el papel de las reclamaciones ,
Nombre El nombre único del usuario
Identificador de nombre El identificador de nombre SAML del usuario
Estas dos reclamaciones forman parte del grupo de reclamaciones que AD FS 2.0 configura de forma predeterminada.
Esto implica que tienen un alcance de IP.
por ejemplo, cuando inicia sesión en Google utilizando ACS, "identificador de nombre" es el único GUID asociado a su cuenta por Google, mientras que el nombre es su nombre de usuario de Google, por ejemplo, "[email protected]".
ClaimTypes.Name
es para UserName y ClaimTypes.NameIdentifier
especifica la identidad del usuario. Si los agrega en el objeto ClaimIdentity
que le proporciona llegar a los métodos User.Identity
que son GetUserName()
y GetUserId()
.
Name
, es solo ese un nombre. Si hablamos en persona, piensa "Eric"; un servidor "file01".
Un NameIdentifier
es la identificación de un objeto. Volviendo a nuestro objeto personal, el ID de usuario de Eric podría ser 435 en su base de datos. Para el servidor, el identificador podría ser algo así como un FQDN o un SID.
De acuerdo con esta publicación , aparentemente Name Identifier era una propiedad de SAML 1.1, y está siendo suplantado por NameID
en SAML 2.0.
Único o no?
Quería abordar el comentario de @ Jason y la publicación de @ nzpcmad. No veo la singularidad como un requisito claro. La pregunta está etiquetada adfs2.0 pero el esquema al que se hace referencia es propiedad de OASIS. Entonces esas son las interpretaciones de las dos partes que necesitamos equilibrar.
La postura de Microsoft para ADFS es claramente que existe un requisito único. Vemos eso en el artículo " The Role of Claims ". Sin duda, ADFS arroja una gran sombra, pero esto parece un detalle de implementación.
En cuanto a la especificación SAML 1.1 , sin embargo, no veo tal afirmación. Lo más cerca que nos encontramos en la sección 2.4.2.2 de la especificación es:
El elemento especifica un tema mediante una combinación de un calificador de nombre, un nombre y un formato. El elemento tiene los siguientes atributos:
...
NameQualifier [opcional] El dominio de seguridad o administrativo que califica el nombre del sujeto. Este atributo proporciona un medio para federar nombres de tiendas de usuario dispares sin colisión.
El texto de la especificación me dice que necesito poder encontrar a una persona usando una combinación de los tres atributos, pero no hace ninguna afirmación en cuanto a la singularidad. ¿No podría tener dos entradas que apuntan al mismo usuario? Parece tan. Además, ¿no indicaría la especificación que el atributo NameQualifier
era necesario en los casos en que NameIdentifier
no era suficiente para identificar de manera única el nombre?
¿A qué se debe todo esto?
- Tenga cuidado, es probable que lo más seguro.
- Adéntrese en la postura de su proveedor sobre el tema.