SAML 2.0是否能够存储正在访问我的API-REST的所有用户,并且通过这种方式,我可以跟踪正在输入我的API的人员?例如,如果我想知道昨天谁访问了我的Api。
SAML仅是用户信息到达的格式。例如使用the examples,以下是在SAML中如何表示用户的方式:
<saml:AttributeStatement>
<saml:Attribute Name="uid" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xsi:type="xs:string">test</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="mail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xsi:type="xs:string">[email protected]</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="eduPersonAffiliation" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xsi:type="xs:string">users</saml:AttributeValue>
<saml:AttributeValue xsi:type="xs:string">examplerole1</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
uid属性将是其用户名以及mail属性中的电子邮件地址。 eduPersonAffiliation表示他们与组织有什么关系。在这种情况下,他们是自己组织中的examplerole1角色的用户。
SAML不会将其记录到传递给您的API之外。提取这些属性并根据它们创建自己的审核系统将由您决定。
很多SAML身份提供者(IdP)发布eduPerson属性。最新的架构是here。