我正在研究 SSO 技术,特别是 SAML 2.0,我看到 IdP、IdP Lite、SP 和 SP Lite 的操作模式。我能找到的对这些“精简”模式的唯一参考是在SAML 2.0 规范的一致性部分。
完整版和精简版的唯一区别是“精简版”是完整版的子集吗?如果与精简版一起使用,会缺少哪些关键功能?
问问题
4036 次
2 回答
5
IdP Lite 和 SP Lite 确实是 IdP 和 SP 的子集。
主要区别在于缺乏对“托管名称标识符”(有时称为“持久标识符”)的支持。它们是在 IdP 和 SP 之间动态创建和商定的匿名 ID,用于用户识别。有一组消息专门用于建立这些标识符、维护它们和撤销它们。请参阅SAML 2.0 核心中的第 3.6 节- NameID 格式为“urn:oasis:names:tc:SAML:2.0:nameid-format:persistent”。
许多 SAML 2 部署没有利用它们 - 因此简化它的一致性非常有意义。
“完全”一致性的其他一些较少使用的部分(例如不寻常的绑定,例如基于 SOAP 的 SLO)也已成为可选的。
于 2012-02-28T19:20:21.843 回答
3
一个更加愤世嫉俗的回答:关于哪些特性应该抛弃并且仍然能够声称符合性存在很多争论,而且对于哪些特性重要或不重要,几乎没有经验。2005 年的一致性规范是关于这个问题的一套非常古老的观点,它与 2012 年的现实没有太大的联系。一些“必需”的特性从未使用过,而一些可选的特性对于一个健壮的必须很好地扩展的实现(元数据就是一个很好的例子)。
于 2012-02-29T03:51:23.947 回答