single-sign-on - 我是否必须使用电子邮件进行 SAML 身份验证
问题描述
首先,我很抱歉这个新手问题!考虑到所有 GDPR 问题,我想知道是否需要使用电子邮件进行 SAML 身份验证,或者是否有办法使用用户名或其他唯一 ID 开发身份验证?目标是根本不处理电子邮件,但仍然使用 SAML。
解决方案
我发现电子邮件是一个糟糕的标识符选择,因为人们喜欢它们偶尔改变(结婚、离婚等)。
SAML 不需要使用任何特定的事物作为主题,它们保持开放状态。此外,该协议还提供了假名标识符的概念——瞬态和持久性。您可以在SAML 规范中的3605 到 3654 行之间看到这些内容。
归根结底,SAML 是一种协议,它围绕如何传递您和您的合作伙伴共同同意的标识符的结构进行包装。如果您根据目录对用户进行身份验证(他们仍然可以使用其电子邮件作为其 IdP 标识符),则向合作伙伴发送用户的 UUID。只要他们可以使用该标识符(因此,您的用户已使用您目录中的 UUID 作为标识符被配置到 SP 中),那么您可以在断言中发送它,并且您没有传递任何违反规则和精神的内容GDPR 的规定。
推荐阅读
- java - 在启动画面中接收 URL 意图并在 WebView 中加载 URL
- swift - 当 xcode 为 iOS 模拟器构建时,你可以忽略文件或类吗
- css - 使用什么技术将 css 内容变成图标?
- c# - HttpClient HTTP/2 从 Azure Function 调用 APN
- python - Django-Import-Export 导入 CSV,如何处理 u'\\ufeff、UTF-8 BOM 问题?
- excel - 隐藏表格行*除非* 3 列(在该行中)中的任何一个不为空
- javascript - 将 CodeMirror 实施到 Widget 后端表单中而不更新 texarea
- cordova - 离子原生 http POST 未向服务器发送数据
- javascript - 使用 PowerShell 在 Windows Server 上的 Internet Explorer 中运行 Javascript
- search - 页面爬虫索引只是在 kentico 中搜索确切的单词