SAML 2.0 - von der Komplexität erschlagen

Der Trend zu modularen Spezifikationen auf Basis von hochkomplexen XML Technologien hält an. Dabei weisen die Spezifikationen selbst oftmals einen hohen Anteil von Alternativen und Optionen auf. Letztenendes ist dann diese Komplexität nur noch durch die Definition von Profilen in den Griff zu bekommen um überhaupt Lösungen zu finden, die miteinander kommunizieren können.

Diese Art der Standardisierung ist insbesondere in OASIS Technical Committees zu beobachten. Ursache davon ist das "Designed by Committee" Syndrom, bei der es zu einer Vermehrung von Featurs kommt, ohne dass diese sich aus der Praxis ergeben hätten. Die notwendige Diplomatie bei der Entscheidungsfindung tut ein übliches dabei, dass das KISS Prinzip oftmals nicht eingehalten werden kann.

Ein gutes Beispiel für eine Technologie deren Nutzwert zwar hoch ist, aber deren Komplexität bei der Verbreitung sehr hinderlich ist SAML. Das ist in diesem Fall (ein IT Sicherheitsprotokoll) besonders gravierend, da die Sicherheitsimplikationen der Spezifikation nicht mehr sinnvoll evaluiert und verstanden werden können.

Das nun durch OASIS TSSC veröffentlichte Errata zur Version 2.0 enthält über 50 Punkte, davon keinesfalls alles Kleinigkeiten. Einige ändern sogar den normativen Teil der Spezifikation (z.B. ist TLS jetzt beim URL Protokoll nicht mehr verbindlich).

Es ist kein Wunder, dass sich im Internet eher leichtgewichtige Lösungen wie z.B. OpenID verbreiten, die aus der Praxis entstanden sind.