使用SSO和Shibboleth 2.0的一般问题-将属性从IdP传递到SP

我一直在读关于使用Shibboleth 2.0作为单一登录技术的文章。我有一个困惑,就是身份提供者(Identity Provider,IdP)是否有可能向服务提供者(Service Provider,SP)发送一个电子邮件属性,该属性可以准确地向web应用程序指示登录的用户。

例如,如果用户Joe被指示使用电子邮件Joe@acme.com在IdP注册(创建用户/通行证等),并且我的应用程序可以唯一地标识Joe@acme.com,那么来自IdP的身份验证响应可以指示1。)是的,此人就是他所说的人,2.)他的电子邮件是Joe@acme.com。

SSO在Shibboleth联合中的一个主要优势似乎是应用程序不需要知道 任何东西 关于Joe在IdP中选择的特定用户名和密码。是真的吗?如果是这样的话,这是一个好的设计吗?或者,建立这样一个系统的风险和考虑是什么。

如果这是 不 一个好的设计,什么是常见的选择?

在我的应用程序中,我支持SSL,所有我的个人电子邮件都是已知的和唯一的。谢谢。