SAML 2.0版在2005年3月刚刚被OASIS批准。Liberty Alliance的目的是让尽可能多的厂商把SAML加入到他们的产品线中。

　　通过互操作性测试的有四种产品，分别是IBM的Tivoli Federated Identity Manager、NEC 的Mobile Internet Platform、NTT Communication的I-dLive 宽带与网络服务身份联邦工具以及RSA Security公司的Federated Identity Manager。为了证明其互操作性，每个产品必须能够与至少两个厂商共享一个给定的SAML文件。

　　Oracle和Sun公司在2005年7月已经通过了SAML2.0互操作性测试。现在，Liberty宣称已经有超过70种产品被授予了SAML证书。

　　Liberty Alliance Conformance Expert Group的主席Roger Sulliva说:“互操作性是必须的。联邦的本质就是需要至少两个公司之间能够进行互操作。只有当你可以在网络中的任何访问点都能做到即插即用，这个标准才能起作用。”

　　Sullivan表示，“我们的目标是为联邦制定出事实上的标准。”SAML并非惟一想达到这个目标的标准。OASIS最近在组建一个旨在建立一套新的安全标准的委员会。而尚在开发中的WS-Federation规格说明书却没有加入进来，人们预计它明年会跟进。

　　有些人对WS-Federation的出现是否会在与SAML的结合部引起标准之间的争斗存在疑虑，Sullivan认为那将是两败俱伤的结局。他说:“假如标准之间不融合，那么厂商就不得不支持所有的标准。”

　　Microsoft和IBM在建立WS-Federation方面很积极。Microsoft的产品现在还没有获得SAML证书，而IBM的Tivoli产品现在已经支持SAML以及WS-Federation。

　　随着新的Web 服务安全标准被批准，Sullivan相信SAML会被采纳、赞同并获得优势地位。

　　HP公司软件技术顾问王志刚在接受记者采访时表示，目前业界基本上是两大阵营，OASIS/Liberty与WS-*，即SAML2.0与WS-Federation，二者其实有些地方是重复的，未来统一的单一标准究竟会以哪个为基础，还没有定论，或许会建立在二者之上。

　　以前，联邦身份一直受到标准过多问题的困扰。5个不兼容的协议(OASIS SAML1.0和1.1、自由联盟ID-FF 1.1和1.2以及Shibboleth)给企业和消费者的应用带来了麻烦，延缓了发展速度，增加了联邦身份部署的费用。寻求部署联邦身份的机构必须与每一位联邦合作伙伴协商选择协议。很多机构必须通过协议映射和转换技术来支持多个协议，而这些技术造成关键特性或功能的支持空隙。

　　SAML 2.0消除了阻碍进一步采用联邦身份的最大障碍—多协议复杂性，因而大大改变了联邦身份的局面。SAML 2.0将来自每一个前任协议的各种关键使用情况和特性融入到一项标准中。由于SAML 2.0代表5个前任协议中所有功能性的集合，因此它将淘汰以前的协议。

　　SAML 2.0说明实现联邦的两个角色。服务提供者是为用户提供应用或资源的实体，而身份提供商负责认证用户。服务提供者和身份提供者交换信息，以实现单一登录和退出。这些信息交换可以由身份提供者或服务提供者发起。

　　在进行单一登录时，身份提供者负责创建包含用户身份的SAML断言，然后安全地将这个断言发送给服务提供者。服务提供者负责在让用户访问应用之前验证SAML断言的有效性。

　　优势明显

　　利用SAML，网络服务不需要借助安全认证机构就可验证令牌的有效性，不仅简化了单点登录步骤，还带来了许多传统单点登录方式所不具备的优点:

　　1.SAML为认证声明和认证属性建立了一个数据格式，其参数取决于安全服务产生的基于政策的认证结果。使用SAML标准作为安全认证和共享资料的中间语言，能够在多个站点之间实现单点登录。

　　2. SAML针对不同的安全系统提供了一个共有的框架，允许企业及其供应商、客户与合作伙伴进行安全的认证、授权和基本信息交换。由于SAML是通过XML对现有的安全模式进行描述，因此它是一个中立的平台并且不需要依赖于供应商的基础结构。

　　3. SAML的消息格式能够从一个源站点(站点起到SAML认证管理机构的作用)将断言发送给一个接受者。使电子商务合作中的事务处理速度得到加快，并且使认证环境的复杂性得到全面的简化。

　　关于单点登录的几点认识

　　单点登录是个热门概念，所有身份与访问控制管理(IAM)产品中都有单点登录的身影。但是，众多的单点登录概念和实现技术让我仿佛坠入了五里雾中，在撰写本文之初，我既分不清单点登录之间的区别，也不明白单点登录和SAML之间的关系。还好，通过向专业人士请教，我大概明白了一二。

　　根据我的理解，首先，单点登录可以分为企业内部的单点登录和Web单点登录两大类。如果企业内的应用都是B/S架构，或者企业内有C/S架构、B/S架构和Telnet应用，想实现单点登录，就需要采用企业内部单点登录解决方案。如果要在不同域名或不同企业间，或者同一企业的不同分支机构之间实现单点登录，Web单点登录则是更好的选择。

　　其次，Web单点登录已经有了统一的标准，就是SAML 2.0。而企业内部的单点登录则没有任何标准，由于各企业内部应用的复杂性和独特性，每个厂商都在按照自己的设计思路和用户需求来提供解决方案。

　　第三，国内的Web单点登录应用远远落后于国外。据RSA公司的工程师陈海林介绍，在国内，企业内部单点登录的应用较多，而Web单点登录才刚刚起步，这和国内的互联网发展进程密切相关。