В SAML 2.0, в чем разница между IdP и IdP Lite (light), а также SP и SP Lite?

Question

Я исследую технологии SSO, в частности SAML 2.0, и вижу, что есть режимы работы для IdP, IdP Lite, SP и SP Lite.Единственная ссылка, которую я могу найти на эти "облегченные" режимы, находится в части соответствия спецификации SAML 2.0 .

. Единственная разница между полной версией и облегченной версией состоит в том, что"облегченная" версия является подмножеством полной?Какие ключевые функции будут отсутствовать, если они идут с облегченной версией?

Answer 1

IdP Lite и SP Lite действительно являются подмножеством IdP и SP.

Основным отличием является отсутствие поддержки «управляемых идентификаторов имен» (иногда называемых «постоянными идентификаторами»).Это анонимные идентификаторы, которые динамически создаются и согласовываются между IdP и SP для идентификации пользователя.Существует ряд сообщений, посвященных установлению этих идентификаторов, их обслуживанию и отзыву.См. Раздел 3.6 в ядре SAML 2.0 - формат NameID "urn: oasis: names: tc: SAML: 2.0: nameid-format: persistent".

Во многих развертываниях SAML 2 нетиспользовать их - так что упрощение соответствия разумно имеет смысл.

Некоторые другие, менее используемые части «полного» соответствия (такие как необычные привязки, такие как SLO поверх SOAP) также были сделаны ДОПОЛНИТЕЛЬНЫМИ.

Answer 2

Несколько более циничный ответ: было много споров по поводу того, какие функции нужно отбросить, и все же можно претендовать на соответствие, и было очень мало опыта, какие функции были важны или нет. Спецификация соответствия 2005 года - это очень старый набор мнений по этому вопросу, и он не имеет большой связи с реальностью в 2012 году. Некоторые функции, которые были «обязательными», никогда не используются, а некоторые, которые были необязательными, являются критически важными для надежной работы. реализация, которая должна хорошо масштабироваться (хороший пример - метаданные).