Pseudoidentifikátor, který obsahuje „scope“ organizace (scoped), není očividně svázán se konkrétním uživatelem (opaque), je nepřenositelný na jiného uživatele (not reassignable) a není cílený na jednu službu (non-targeted).

Popis vlastností naleznete na wiki Shibbolethu.

Podrobné informace na wiki OASIS.

• SAML2: urn:oasis:names:tc:SAML:attribute:subject-id

2f0df90d9fed5683b6e6420415a04f7f13df87bbf3d7222cc7179ca953b5eade@example.org

Určený jako náhrada za zastaralé identifikátory jako eduPersonUniqueId a potenciálně i za eduPersonPrincipalName, čili tam, kde zobrazení hodnoty tohoto identifikátoru není důležité.

Hodnotu doporučuji získat jako hash z atributu unstructuredName kombinovaným se solí pro persistentní NameID a následně přidat „scope“.