SAML配置

Question

我已经在我的系统中集成了SAML2.0，并且我对SAML配置文件有几个问题。

在我的服务提供商文件中

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>。

在客户的IDP文件中，我们没有任何NameIDFormat定义。如果客户端没有定义default，那么它是什么？

在我的春季saml配置文件中

<bean id="samlEntryPoint" class="org.springframework.security.saml.SAMLEntryPoint">
        <property name="contextProvider" ref="${saml.security.context.provider}" />
        <property name="defaultProfileOptions">
            <bean class="org.springframework.security.saml.websso.WebSSOProfileOptions">
                <property name="includeScoping" value="false" />
                <property name="nameID" value="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" />
                <property name="allowCreate" value="true" />
            </bean>
        </property>
    </bean>

但客户告诉我们，“持之以恒”的政策不支持他。如果修改defaultProfileOptions并删除nameID属性，客户机的默认值将是urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified (我记得在SP文件中，NameIDFormat是urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified，而在IDP文件中，我们没有NameIDFormat定义)。

Answer 1

从SAML规范的角度看NameID格式

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

如果未指定NameID格式，则应使用。但是，您不需要发送任何人，SAML IdP就应该选择您的SP支持的NameID格式之一(在SAML元数据中提供)。

从SAML规范的角度看NameID格式

urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

用于“帐户链接”的用例(两个不同身份筒仓中的两个标识的链接，一个在IdP侧，一个在SP侧)。

由于您的用例似乎仅为单点登录，因此预期的NameID格式将

urn:oasis:names:tc:SAML:2.0:nameid-format:transient