...
Binnen de SAML-assertion wordt de identiteit van een gebruiker doorgestuurd in de vorm van een NameID-element. Het NameID is gegarandeerd stabiel en onveranderlijk voor een gebruiker (behalve in gevallen van transient identifiers, zie hieronder). Identity Providers moeten een NameID meesturen, maar SURFconext genereert zelf voor elke identiteit een nieuwe NameID. Wij bevelen sterk aan dat Service Providers het NameID gebruiken om gebruikers uniek te identificeren (in plaats van een e-mailadres of andere attributen die kunnen veranderen). Het nameID wordt gegenereerd voor elke nieuwe gebruiker door SURFconext en is een hash over het uid, schacHomeorganization (samen een unieke gebruiker in de federatie), het SP-entityID en een secret. Het is daarmee zowel uniek voor die gebruiker en specifiek voor de SP, dus SP's kunnen ontvangen NameID's niet onderling correleren.
SURFconext kan 2 verschillende typen NameID's genereren:
...