Skip to main content

I nuovi identificatori SAML2 Subject ID e Pairwise ID

(English version available below)

La Federazione IDEM supporta i due nuovi identificatori utente definiti nel documento OASIS SAML V2.0 Subject Identifier Attributes Profile Version 1.0 [SAML-SubjectID-v1.0]:
  • SAML2 Subject ID: un identificatore opaco, generale, globalmente univoco e indipendente dal servizio utilizzato.
  • SAML2 Pairwise ID: un identificatore opaco, specifico e univoco per ogni servizio a cui viene rilasciato.
I nuovi identificatori sono codificati come normali attributi SAML2 e mirano a risolvere una serie di limitazioni degli identificatori attualmente utilizzati, tra cui ricordiamo:
  • l'identificatore di tipo generale maggiormente utilizzato è eduPersonPrincipalName, che non è opaco e in alcune federazioni può venire riassegnato.
  • gli identificatori di tipo specifico per servizio, come il SAML Persistent NameID e eduPersonTargetedID(che attualmente è deprecato), contengono gli entityID degli Identity Provider che li hanno emessi e dei Service Provider a cui sono riferiti, rendendoli quindi molto fragili nel caso di cambiamenti.
  • con gli identificatori presistenti, un Service Provider non può richiedere un identificatore qualsiasi, ma deve per forza specificare quale è richiesto. 
I nuovi identificatori SAML2 Subject ID e SAML2 Pairwise ID risolvono le limitazioni citate poiché sono opachi, non legati agli entityID delle entità che li emettono o li utilizzano, ed introducono una specifica modalità per richiedere un identificatore qualsiasi.

Per saperne di più visita la pagina del wiki della Federazione IDEM dedicata ai nuovi attributi:

https://wiki.idem.garr.it/wiki/SAML-Subject-ID-Attribute

Servizio IDEM GARR AAI

[SAML-SubjectID-v1.0] https://wiki.oasis-open.org/security/SAMLSubjectIDAttr




The IDEM Federation supports the new user identifiers defined by the OASIS specification SAML V2.0 Subject Identifier Attributes Profile Version 1.0 [SAML-SubjectID-v1.0]:
  • SAML2 Subject ID: an opaque, general, globally unique identifier independent by the service.
  • SAML2 Pairwise ID: an opaque, specific identifier, unique for each service to which it is released.
The new identifiers are codified as standard SAML2 attributes and aim to solve a number of limitations found in the current identifiers, such as:
  • the most widely used general identifier is eduPersonPrincipalName, which is not opaque and in some federations can be reassigned when the user to whom belongs ceases to be part of the Home Organisation.
  • the identifiers specific for each services, such as  SAML Persistent NameID and eduPersonTargetedID(currently deprecated), contain the entityIDs of the issuing Identity Providers and of the Service Providers to which they refer to, thus making them very fragile in case of changes.
  • with the preexistent identifiers, a Service Provider cannot ask for any identifier, it has to specifically request one, possibly excluding the others. 
The new identifiers SAML2 Subject ID and SAML Pairwise ID solve the above limitations as they are opaque, not bound to the issuing or targeting entityIDs, and introduces a way to ask for Service Providers to request any identifier.

To know more you can visit the dedicated page in the wiki of the IDEM Federation (Italian only):

https://wiki.idem.garr.it/wiki/SAML-Subject-ID-Attribute

Servizio IDEM GARR AAI

[SAML-SubjectID-v1.0] https://wiki.oasis-open.org/security/SAMLSubjectIDAttr