不鼓励使用 SAML2 电子邮件地址作为 NameId
SAML2 email address as NameId is discourage to use
我开始致力于通过联合实现 SAML2 身份验证。其中一项要求是联合需要将 NameId 的持久值发回给我们,这是因为它是我在用户使用 SAML2 SSO 登录 Web 应用程序时识别的密钥之一。
我正要使用 <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>,但是我们将使用连接到组织的联合支持之一阻止我使用电子邮件地址 nameid。我还没机会问为什么?为什么电子邮件地址不是用于 SAML2 的 NameIdFormat 的最佳选择?
在 AD 中,电子邮件可以在两个帐户之间重复。没有唯一性限制。
这取决于用例。如果它是公司的,它很少会改变。如果是 public,则流失率会更高。
UPN 可能是更好的选择。
我开始致力于通过联合实现 SAML2 身份验证。其中一项要求是联合需要将 NameId 的持久值发回给我们,这是因为它是我在用户使用 SAML2 SSO 登录 Web 应用程序时识别的密钥之一。
我正要使用 <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>,但是我们将使用连接到组织的联合支持之一阻止我使用电子邮件地址 nameid。我还没机会问为什么?为什么电子邮件地址不是用于 SAML2 的 NameIdFormat 的最佳选择?
在 AD 中,电子邮件可以在两个帐户之间重复。没有唯一性限制。
这取决于用例。如果它是公司的,它很少会改变。如果是 public,则流失率会更高。
UPN 可能是更好的选择。