Pseudoidentifikátor, který obsahuje „scope“ organizace (scoped), není očividně svázán se konkrétním uživatelem (opaque), je nepřenositelný na jiného uživatele (not reassignable) a cílený na jednu službu (targeted).

Popis vlastností naleznete na wiki Shibbolethu.

Podrobné informace na wiki OASIS.

• SAML2: urn:oasis:names:tc:SAML:attribute:pairwise-id

NQ4VOTLQJFDHM32BKZHUMWCVFNAUCMSE@example.org

Určený jako náhrada za zastaralé identifikátory jako eduPersonTargetedID a SAML 2.0 persistentní NameID z důvodu jejich problémů s velikostí písmen a také implementační komplexitou.

Hodnotu doporučuji získat jako pro současný atribut eduPersonTargetedID / SAML 2.0 persistentní NameID. Pokud jste hodnoty ukládali do databáze (měli jste to tak dělat, protože nyní nebudete mít problémy), můžete snadno migrovat na BASE32 enkódování i jiný algoritmus. Nejprve se v databázi zjistí, jestli identifikátor existuje. Pokud ano, použije se. Pokud ne, vygeneruje se nový, uloží se do databáze a pak se použije.

Hodnoty salt, algorithm, encoding a „zdrojový atribut“ v elementu <DataConnector> se berou z conf/saml-nameid.properties.

<AttributeDefinition xsi:type="Scoped" id="samlPairwiseID" scope="%{idp.scope}">
    <InputDataConnector ref="myStoredId" attributeNames="storedId"/>
</AttributeDefinition>
 
<DataConnector id="myStoredId"
    xsi:type="StoredId"
    generatedAttributeID="storedId"
    salt="%{idp.persistentId.salt}"
    algorithm="%{idp.persistentId.algorithm:SHA}"
    encoding="%{idp.persistentId.encoding:BASE32}"
    queryTimeout="0">
    <InputAttributeDefinition ref="%{idp.persistentId.sourceAttribute}"/>
    <BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection>
</DataConnector>