我正在研究 SSO 技术,特别是 SAML 2.0,并且我看到 IdP、IdP Lite、SP 和 SP Lite 的操作模式。我能找到的对这些“精简”模式的唯一参考是SAML 2.0 spec 的一致性部分。
完整版和精简版的唯一区别是“精简版”是完整版的子集吗?如果与精简版一起使用,会缺少哪些关键功能?
【问题讨论】:
标签: single-sign-on saml saml-2.0
IdP Lite 和 SP Lite 确实是 IdP 和 SP 的子集。
主要区别在于不支持“托管名称标识符”(有时称为“持久标识符”)。它们是在 IdP 和 SP 之间动态创建和商定的匿名 ID,用于用户识别。有一组消息专门用于建立这些标识符、维护它们和撤销它们。请参阅Section 3.6 in SAML 2.0 core - NameID 格式为“urn:oasis:names:tc:SAML:2.0:nameid-format:persistent”。
许多 SAML 2 部署没有利用它们 - 因此简化它的一致性非常有意义。
“完全”一致性的其他一些较少使用的部分(例如不寻常的绑定,例如基于 SOAP 的 SLO)也已设为可选。
【讨论】:
一个更加愤世嫉俗的回答:关于哪些功能要抛弃并且仍然能够声称符合性存在很多争论,而且对于哪些功能重要或不重要,几乎没有经验。 2005 年的一致性规范是关于这个问题的一套非常古老的观点,它与 2012 年的现实没有太大的联系。一些“必需”的特性从未使用过,而一些可选的特性对于一个健壮的必须很好地扩展的实现(元数据就是一个很好的例子)。
【讨论】: