Saml 2.0 - более старый стандарт, изобретенный до одностраничных приложений, API REST и приложений для мобильных телефонов. Основное внимание уделяется единому входу и выходу из веб-приложения.
OpenID Connect также работает с веб-приложениями, но добавляет поддержку SPA и мобильных приложений и обеспечивает безопасность API. Так что во многих отношениях OIDC является более способным к ним.
Однако SAML2 может выполнять некоторые действия, которых нет в OIDC:
- Федерации, где один центральный объект представляет агрегированный файл метаданных, содержащий информацию о многих поставщиках удостоверений и приложениях (поставщиках услуг). InCommon в США один. Новая европейская система eID eIDAS также является федерацией SAML2.
- Idp инициировал вход - где Idp является своего рода порталом приложения. Обратите внимание, что это открыто для атак с фиксацией сеанса и иногда не разрешено.
- Метаданные приложения (поставщика услуг / проверяющей стороны), которые позволяют настроить Idp путем импорта метаданных, описывающих приложение.
Обратите внимание, что защита API предоставляется в спецификациях SAML2 через профиль ECP, но вряд ли кто-либо использует его, и существует очень мало реализаций.