wif - sirve - ¿Cuál es el propósito del reclamo del identificador de nombre?

La declaración de nameidentifier debe usarse para obtener un nombre de usuario único.

Para la Autenticación de Windows:

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier domain / warlock

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 0 # .w | domain / warlock

domain / warlock es un nombre de inicio de sesión de Windows

Para la autentificación basada en reclamos:

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier [email protected]

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 05.t|myidentityprovider|[email protected]

el correo electrónico se especificó como el reclamo de identificador

Como puede ver .../identity/claims/name describe el nombre y el proveedor de identidad.

Por el papel de las reclamaciones ,

Nombre El nombre único del usuario

Identificador de nombre El identificador de nombre SAML del usuario

Estas dos reclamaciones forman parte del grupo de reclamaciones que AD FS 2.0 configura de forma predeterminada.

Esto implica que tienen un alcance de IP.

por ejemplo, cuando inicia sesión en Google utilizando ACS, "identificador de nombre" es el único GUID asociado a su cuenta por Google, mientras que el nombre es su nombre de usuario de Google, por ejemplo, "[email protected]".

ClaimTypes.Name es para UserName y ClaimTypes.NameIdentifier especifica la identidad del usuario. Si los agrega en el objeto ClaimIdentity que le proporciona llegar a los métodos User.Identity que son GetUserName() y GetUserId() .

Name , es solo ese un nombre. Si hablamos en persona, piensa "Eric"; un servidor "file01".

Un NameIdentifier es la identificación de un objeto. Volviendo a nuestro objeto personal, el ID de usuario de Eric podría ser 435 en su base de datos. Para el servidor, el identificador podría ser algo así como un FQDN o un SID.

De acuerdo con esta publicación , aparentemente Name Identifier era una propiedad de SAML 1.1, y está siendo suplantado por NameID en SAML 2.0.

Único o no?

Quería abordar el comentario de @ Jason y la publicación de @ nzpcmad. No veo la singularidad como un requisito claro. La pregunta está etiquetada adfs2.0 pero el esquema al que se hace referencia es propiedad de OASIS. Entonces esas son las interpretaciones de las dos partes que necesitamos equilibrar.

La postura de Microsoft para ADFS es claramente que existe un requisito único. Vemos eso en el artículo " The Role of Claims ". Sin duda, ADFS arroja una gran sombra, pero esto parece un detalle de implementación.

En cuanto a la especificación SAML 1.1 , sin embargo, no veo tal afirmación. Lo más cerca que nos encontramos en la sección 2.4.2.2 de la especificación es:

El elemento especifica un tema mediante una combinación de un calificador de nombre, un nombre y un formato. El elemento tiene los siguientes atributos:
...
NameQualifier [opcional] El dominio de seguridad o administrativo que califica el nombre del sujeto. Este atributo proporciona un medio para federar nombres de tiendas de usuario dispares sin colisión.

El texto de la especificación me dice que necesito poder encontrar a una persona usando una combinación de los tres atributos, pero no hace ninguna afirmación en cuanto a la singularidad. ¿No podría tener dos entradas que apuntan al mismo usuario? Parece tan. Además, ¿no indicaría la especificación que el atributo NameQualifier era necesario en los casos en que NameIdentifier no era suficiente para identificar de manera única el nombre?

¿A qué se debe todo esto?

• Tenga cuidado, es probable que lo más seguro.
• Adéntrese en la postura de su proveedor sobre el tema.