|
|
1
27
我不确定你的用例是否与SAML 2.0完全相同。 您所描述的业务规则实际上看起来像是身份配置的用例,而不是访问管理。
这些名称标识符几乎可以是任何东西,但它们大致分为两类:暂时的和持久的。临时名称标识符仅在当前会话的上下文中有用(本质上只表示“我知道这个人是谁”),并且往往用于保护主体的身份,同时允许某种类型的特权访问。持久标识符可以是不透明的(与使用OpenID访问SO的方式类似),其中断言方可以在不披露其身份的情况下重复验证原则的身份,同时在断言方和依赖方之间保持动态但稳定的共享标识符,也可以是更实质的标识符,例如Active Directory UPN(可以提前预先商定)。
现在,回到你的商业规则。..
这 OASIS Security Services Technical Committee 有一个zip文件下载,其中包含XML模式各部分的详细文档,包括示例。阅读协议和配置文件文档也是非常值得的,因为这些文档描述了身份对话中各方之间的消息流。 SAML v2.0 Basics Eve Maler帮助我开始意识到SAML v2.0试图解决什么问题。本演示文稿包括断言的示例。网站上有更新的演示文稿和其他资源的链接 saml.xml.org .
|