Azure SAML SSO Уникальный идентификатор пользователя неверен в ответе

Question

Итак, я создал корпоративное приложение и настроил его для единого входа на основе SAML. Насколько я понимаю, я настроил его так, чтобы уникальный идентификатор пользователя (Name ID) устанавливал адрес электронной почты пользователя в пределах Azure.

Когда я пытался войти в систему, чтобы протестировать или использовать свое новое приложение через портал, я вижу, что значение NameID в ответе фактически задано случайной строкой символов (zReN4-W7ufefDDEh4pJ19K7pcMV84O5RKHSeOQ6wArU), которую я считаю уникальной идентифицирует моего пользователя. Я пытаюсь изменить атрибут источника идентификатора имени, а также формат идентификатора имени, но он всегда возвращается в виде точно такой же строки в ответе.

Приложение, в которое я пытаюсь войти, требует, чтобы в качестве идентификатора имени был указан адрес электронной почты пользователя, и я не понимаю, почему это не показывается таким образом в ответе. Есть идеи, почему это происходит?

Answer 1

Значение NameID является целевым идентификатором, который адресован только поставщику услуг, который является аудиторией для токена. Он постоянен - ​​его можно отозвать, но он никогда не будет переназначен. Он также непрозрачен тем, что не раскрывает ничего о пользователе и не может использоваться в качестве идентификатора для запросов к атрибутам.

Обычно, если у пользователя нет значения в почтовом атрибуте, тогда Azure AD послал бы постоянный формат для имени ID и установил бы случайное значение в нем.

Для получения дополнительной информации о протоколе SAML можно go через эту статью и аналогичные вопрос