86

タイプのクレームは何http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierに使用する必要がありますか?

これが主な質問であり、ここに追加の質問があります。

請求とどう違うのhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

名前の主張とは対照的に、特定のユーザーに対して永続的ですか?

グローバル スコープですか、それとも IdP スコープですか?

4

4 に答える 4

56

Name、それはまさにその名前です。私たちが話している人なら、「エリック」と考えてください。サーバー「file01」。

ANameIdentifierはオブジェクトのIDです。私たちのpersonオブジェクトに戻ると、EricのUserIDはデータベース内で435である可能性があります。サーバーの場合、識別子はFQDNやSIDのようなものにすることができます。

この投稿によると、明らかにNameIdentifierはSAML1.1プロパティであり、SAML2.0で置き換えられていNameIDます。

ユニークかどうか?

@Jasonのコメントと@nzpcmadの投稿に対処したいと思いました。独自性を明確な要件とは考えていません。質問にはのタグが付けられていますが、参照されているスキーマはOASISが所有しています。したがって、これらは、バランスを取る必要がある2者間の解釈です。

ADFSに対するMicrosoftのスタンスは、明らかに独自の要件があるということです。「クレームの役割」の記事でそれを確認します。ADFSが大きな影を落としていることは間違いありませんが、これは実装の詳細のようです。

ただし、 SAML 1.1仕様を見ると、そのような主張は見られません。仕様のセクション2.4.2.2で得られる最も近いものは次のとおりです。

この要素は、名前修飾子、名前、および形式の組み合わせによってサブジェクトを指定します。この要素には、次の属性があります
。...
NameQualifier[オプション]サブジェクトの名前を修飾するセキュリティドメインまたは管理ドメイン。この属性は、衝突することなく、異なるユーザーストアから名前を統合する手段を提供します。

仕様書のテキストには、3つの属性の組み合わせを使用して人物を見つけることができる必要があると書かれていますが、一意性については何も主張していません。同じユーザーを指す2つのエントリを作成できませんでしたか?そうそう。さらに、仕様は、名前を一意に識別するには不十分NameQualifierな場合に属性が必要であることを示していませんか?NameIdentifier

では、これはすべて何につながるのでしょうか?

  • 注意してください、unqiueはおそらくより安全です。
  • トピックに関するプロバイダーのスタンスを掘り下げます。
于 2012-06-21T21:45:14.187 に答える
13

クレームの役割ごとに、

名前 ユーザーの一意の名前

Name Identifier ユーザーの SAML 名識別子

これら 2 つのクレームは、AD FS 2.0 が既定で構成するクレームのグループの一部です。

これは、それらが IP スコープであることを意味します。

たとえば、ACS を使用して Google にログインする場合、「nameidentifier」は Google によってアカウントに関連付けられた一意の GUID であり、name は「tim.smith@gmail.com」などの Google ログインです。

于 2011-05-01T20:07:42.460 に答える
10

ClaimTypes.Nameユーザー名用であり、ユーザーのIDをオブジェクト パースペクティブとしてClaimTypes.NameIdentifier指定します。および. _ _ _ClaimIdentityUser.IdentityGetUserName()GetUserId()

于 2015-12-24T22:52:33.887 に答える
-1

このnameidentifierクレームは、一意のユーザー名を取得するために使用する必要があります。

Windows 認証の場合:

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier domain\warlock

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 0#.w|ドメイン\ウォーロック

domain\warlock は Windows ログイン名です

クレーム ベース認証の場合:

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier warlock@localhost.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 05.t|myidentityprovider|warlock@localhost.com

電子メールが識別子クレームとして指定されました

ご覧.../identity/claims/nameのとおり、名前と ID プロバイダーについても説明しています。

于 2014-03-17T13:05:39.180 に答える