В SAML 2.0, в чем разница между IdP и IdP Lite (свет), а также SP и SP Lite?

Question

Я изучаю технологии SSO, особенно SAML 2.0, и я вижу, что есть рабочие режимы для IdP, IdP Lite, SP и SP Lite. Единственная ссылка, которую я могу найти в этих «облегченных» режимах, находится в части соответствия на SAML 2.0 spec.

Разница между полной версией и световой версией заключается в том, что версия «lite» является подмножеством полного? Каковы ключевые функции, которые можно было бы пропустить, если бы они пошли с облегченной версией?

Answer 1

IdP Lite и SP Lite действительно являются подмножеством IdP и SP.

Основное отличие заключается в отсутствии поддержки для «Идентификаторов управляемых имен» (иногда называемых «постоянными идентификаторами»). Это анонимные идентификаторы, которые динамически создаются и согласовываются между IdP и SP для идентификации пользователя. Существует набор сообщений, посвященных установлению этих идентификаторов, их поддержанию и отзыву. См. Section 3.6 in SAML 2.0 core - формат NameID - «urn: oasis: names: tc: SAML: 2.0: имя-формат: постоянный».

Многие развертывания SAML 2 не используют их, поэтому упрощение его соответствия мудрым имеет большой смысл.

Некоторые другие менее используемые части «полного» соответствия (например, необычные крепления, такие как SLO over SOAP) также были сделаны ДОПОЛНИТЕЛЬНЫМИ.

Answer 2

Несколько более циничный ответ: было много аргументов в отношении того, какие функции можно выкинуть и все еще иметь возможность требовать соответствия, и было очень мало опыта в отношении того, какие функции были важны или нет. Спецификация соответствия от 2005 года представляет собой очень старый набор мнений по этому вопросу, и в 2012 году она не имеет большой связи с реальностью. Некоторые функции, которые были «необходимы», никогда не используются, а некоторые, которые являются необязательными, имеют решающее значение для надежного которая должна хорошо масштабироваться (метаданные - хороший пример).