L'attributo eduPersonPrincipalName che rilasciamo in fase iniziale agli account solo numerici, prende il valore da un'altro attributo chiamato uid, che contiene un valore univoco del tipo <iniziale del nome>.<cognome><eventuale numero progressivo in caso di omonimie>

Qualora dovessero sorgere questioni legate ad identificatori persistenti utili a “fissare” la profilazione di un utente lato service provider, la federazione IDEM suggerisce (e noi aderiamo completamente allo standard) di utilizzare due attributi opachi, univoci e non riassegnabili che sono:

SAML2 Subject ID e SAML2 Pairwise ID

Esempio:

urn:oasis:names:tc:SAML:attribute:subject-id: 34a77ff4da47ff58f4e7cabf8f5956592863260a56c817ba31128e6fc57d2191@unipr.it
urn:oasis:names:tc:SAML:attribute:pairwise-id: FKHFAMQSGLUP3P5RGTT342U54ZMHQR46@unipr.it

Attributo SAML2 Subject ID

Identificatore di individuo unico e globale per tutti i relying party/SP.

Le sue caratteristiche sono:
Indipendente dal relying party/SP a cui viene rilasciato
Di lunga durata nel tempo
Non riassegnabile ad altri individui
Opaco (non può contenere informazioni sull'individuo)
L'attributo è destinato a sostituire identificatori generali come eduPersonUniqueID e eduPersonPrincipalName

Attributo SAML2 Pairwise ID

Identificatore di individuo specifico per ciascun relying party/SP.

Le sue caratteristiche sono:
Dipendente dal relying party/SP a cui viene rilasciato
Di lunga durata nel tempo
Non riassegnabile ad altri individui
Opaco (non può contenere informazioni sull'individuo)

L'attributo è destinato a sostituire identificatori targeted come eduPersonTargetedID ed il <saml2:NameID> di tipo persistent.