Pseudoidentifikátor, který obsahuje „scope“ organizace (scoped), není očividně svázán se konkrétním uživatelem (opaque), je nepřenositelný na jiného uživatele (not reassignable) a není cílený na jednu službu (non-targeted).

Popis vlastností naleznete na wiki Shibbolethu.

Podrobné informace na wiki OASIS.

• SAML2: urn:oasis:names:tc:SAML:attribute:subject-id

2f0df90d9fed5683b6e6420415a04f7f13df87bbf3d7222cc7179ca953b5eade@example.org

Určený jako náhrada za zastaralé identifikátory jako eduPersonUniqueId a potenciálně i za eduPersonPrincipalName, čili tam, kde zobrazení hodnoty tohoto identifikátoru není důležité.

Hodnotu doporučuji získat jako hash z atributu unstructuredName kombinovaným se solí pro persistentní NameID a následně přidat „scope“.

<AttributeDefinition xsi:type="ScriptedAttribute" id="subjectIdHash" dependencyOnly="true">
    <InputAttributeDefinition ref="unstructuredName"/>
    <Script><![CDATA[
        var digestUtils = Java.type("org.apache.commons.codec.digest.DigestUtils");
        var saltedHash = digestUtils.sha256Hex(unstructuredName.getValues().get(0) + "%{idp.persistentId.salt}");
        subjectIdHash.addValue(saltedHash);
    ]]></Script>
</AttributeDefinition>
 
<AttributeDefinition xsi:type="Scoped" id="samlSubjectID" scope="%{idp.scope}">
    <InputAttributeDefinition ref="subjectIdHash"/>
</AttributeDefinition>

: Pro zjednodušení implementace na IdP, ale i využití na SP, by šlo atribut generovat jako „unstructuredName“@scope, bez hashování atd. Nicméně hash by byl lepší — ten atribut by se vůbec neměl zobrazovat uživatelům v uApprove a neměl by být hezký, aby to nesvádělo k jeho zobrazování + bude pak netransparentní a nepůjde tedy poznat, kdo to je.