在SAML 2.0中,IdP和IdP Lite(轻)以及SP和SP Lite有什么区别?

时间:2012-02-28 17:46:50

标签: single-sign-on saml saml-2.0

我正在研究SSO技术,特别是SAML 2.0,我看到了IdP,IdP Lite,SP和SP Lite的运行模式。我能找到的这些“精简”模式的唯一参考是SAML 2.0 spec的一致性部分。

完整版和轻型版的唯一区别是“lite”版本是完整版本的子集吗?如果他们使用精简版,那么人们会失去哪些关键功能?

2 个答案:

答案 0 :(得分:5)

IdP Lite和SP Lite确实是IdP和SP的子集。

主要区别在于缺乏对“托管名称标识符”(有时称为“持久标识符”)的支持。它们是动态创建的匿名ID,并在IdP和SP之间达成一致,以便用户识别。有一组消息专门用于建立这些标识符,维护它们并撤消它们。请参阅Section 3.6 in SAML 2.0 core - NameID格式为“urn:oasis:names:tc:SAML:2.0:nameid-format:persistent”。

许多SAML 2部署都没有利用它们 - 因此简化它的一致性非常有意义。

“完全”一致性的一些其他较少使用的部分(如SLO over SOAP之类的异常绑定)也已成为可选的。

答案 1 :(得分:3)

一个更为愤世嫉俗的回答:关于哪些功能要折腾并且仍然能够声称一致性存在很多争论,并且对哪些功能重要与否很少有经验。 2005年的一致性规范是关于该问题的一套非常古老的观点,并且它与2012年的实际情况没有多大联系。一些“必需”的特性从未使用过,而一些可选的特征在强大的情况下至关重要。必须扩展良好的实现(元数据就是一个很好的例子)。