Я читал об использовании Shibboleth 2.0 в качестве техники единого входа. У меня возникает путаница в том, может ли поставщик удостоверений (IdP) отправить обратно поставщику услуг (SP) атрибут электронной почты, который может точно указывать веб-приложению, кто входит в систему.
Например, если пользователю Joe предписано зарегистрироваться (создать пользователя / пароль и т. Д.) В IdP с помощью электронного адреса joe@acme.com, и мое приложение может однозначно идентифицировать joe@acme.com, тогда может ответить аутентификация из IdP указывает 1.) да, это тот человек, о котором он говорит, и 2.) его адрес электронной почты здесь joe@acme.com.
Похоже, что основным преимуществом единого входа в федерации Shibboleth является то, что приложению не нужно знать что-либо о конкретных именах пользователей и паролях, которые Джо выбирает в IdP. Это правда? И, если да, это хороший дизайн или каковы риски и соображения создания такой системы.
Если это не хороший дизайн, каковы распространенные альтернативы?
В моем приложении я поддерживаю SSL, и все мои личные письма известны и уникальны. Благодарю.