एसएएमएल 2.0

सुरक्षा अभिकथन मार्कअप लैंग्वेज 2.0 (SAML 2.0) सुरक्षा डोमेन के बीच प्रमाणीकरण और प्राधिकरण पहचान के आदान-प्रदान के लिए सुरक्षा अभिकथन मार्कअप भाषा मानक का एक संस्करण है। SAML 2.0 एक XML-आधारित संचार प्रोटोकॉल है, जो SAML प्राधिकरण, जिसे पहचान प्रदाता नाम दिया गया है, और SAML उपभोक्ता, जिसे सेवा प्रदाता कहा जाता है, के बीच प्रिंसिपल (आमतौर पर अंतिम उपयोगकर्ता) के बारे में जानकारी देने के लिए सुरक्षा अभिकथन मार्कअप लैंग्वेज वाले सॉफ्टवेयर टोकन का उपयोग करता है। SAML 2.0 वेब-आधारित, क्रॉस-डोमेन केवल हस्ताक्षर के ऊपर (SSO) को सक्षम करता है, जो उपयोगकर्ता को एकाधिक प्रमाणीकरण टोकन वितरित करने के प्रशासनिक ओवरहेड को कम करने में मदद करता है।

मार्च 2005 में SAML 1.1 की जगह SAML 2.0 को OASIS (संगठन) मानक के रूप में अनुमोदित किया गया था। SAML 2.0 के महत्वपूर्ण पहलुओं को आधिकारिक दस्तावेजों SAMLCore में विस्तार से शामिल किया गया है, SAMLबाइंड, SAMLProf, और SAMLMeta।

SAML 2.0 के निर्माण में 24 से अधिक कंपनियों और संगठनों के लगभग 30 व्यक्ति शामिल थे। विशेष रूप से, और विशेष रूप से, लिबर्टी एलायंस ने अपना आइडेंटिटी फ़ेडरेशन फ्रेमवर्क (ID-FF) विनिर्देश OASIS को दान कर दिया, जो SAML 2.0 विनिर्देश का आधार बन गया। इस प्रकार एसएएमएल 2.0 एसएएमएल 1.1, लिबर्टी आईडी-एफएफ 1.2, और के अभिसरण का प्रतिनिधित्व करता है -shibboleth-arch-protocols-200509.pdf Shibboleth 1.3।

एसएएमएल 2.0 अभिकथन
एक अभिकथन जानकारी का एक पैकेज है जो SAML प्राधिकरण द्वारा किए गए शून्य या अधिक कथनों की आपूर्ति करता है। एसएएमएल अभिकथन आमतौर पर एक विषय के बारे में किया जाता है, जिसका प्रतिनिधित्व किया जाता है  तत्व। SAML 2.0 विनिर्देश तीन अलग-अलग प्रकार के अभिकथन कथनों को परिभाषित करता है जो SAML प्राधिकरण द्वारा बनाए जा सकते हैं। सभी एसएएमएल-परिभाषित बयान एक विषय से जुड़े हैं। परिभाषित तीन प्रकार के अभिकथन कथन इस प्रकार हैं:
 * प्रमाणीकरण कथन: अभिकथन विषय को एक विशेष समय पर एक विशेष माध्यम से प्रमाणित किया गया था।
 * विशेषता कथन: अभिकथन विषय आपूर्ति की गई विशेषताओं से जुड़ा है।
 * प्राधिकरण निर्णय वक्तव्य: दावे के विषय को निर्दिष्ट संसाधन तक पहुंचने की अनुमति देने का अनुरोध मंजूर या अस्वीकार कर दिया गया है।

SAML अभिकथन का एक महत्वपूर्ण प्रकार तथाकथित Bearer Assertation है जिसका उपयोग वेब ब्राउज़र SSO की सुविधा के लिए किया जाता है। यहां एक पहचान प्रदाता ( https://idp.example.org/SAML2 ) द्वारा एक सेवा प्रदाता ( https://sp. example.com/SAML2 )। अभिकथन में प्रमाणीकरण अभिकथन दोनों शामिल हैं  और एक विशेषता अभिकथन , जो संभवतः सेवा प्रदाता अभिगम नियंत्रण निर्णय लेने के लिए उपयोग करता है। उपसर्ग   SAML V2.0 अभिकथन नाम स्थान का प्रतिनिधित्व करता है।

SAML का उदाहरण
ध्यान दें कि उपरोक्त उदाहरण में  तत्व में निम्नलिखित बाल तत्व शामिल हैं:


 * ए  तत्व, जिसमें पहचान प्रदाता का विशिष्ट पहचानकर्ता होता है
 * ए  तत्व, जिसमें एक अखंडता-संरक्षित डिजिटल हस्ताक्षर (दिखाया नहीं गया) होता है   तत्व
 * ए  तत्व, जो प्रमाणित प्रिंसिपल की पहचान करता है (लेकिन इस मामले में प्रिंसिपल की पहचान गोपनीयता के कारणों के लिए एक अपारदर्शी क्षणिक पहचानकर्ता के पीछे छिपी हुई है)
 * ए  तत्व, जो उन शर्तों को देता है जिनके तहत अभिकथन को वैध माना जाना है
 * ए  तत्व, जो पहचान प्रदाता पर प्रमाणीकरण के कार्य का वर्णन करता है
 * ए  तत्व, जो प्रमाणित प्रिंसिपल से जुड़े एक बहु-मूल्यवान विशेषता का दावा करता है

शब्दों में, अभिकथन निम्नलिखित जानकारी को कूटबद्ध करता है:

"अभिकथन ( b07b804c-7c29-ea16-7300-4f3d6f7928ac ) पहचान प्रदाता द्वारा 2004-12-05T09:22:05Z पर जारी किया गया था ( https://idp.example.org/SAML2) विशेष रूप से सेवा प्रदाता ( https://sp.example.com/SAML2 ) के लिए विषय (3f7b3dcf-1674-4ecd-92c8-1544f346baf8) के संबंध में।"

प्रमाणीकरण कथन, विशेष रूप से, निम्नलिखित पर जोर देता है:

"प्रिंसिपल की पहचान इसमें की गई है सुरक्षित चैनल पर भेजे गए पासवर्ड के माध्यम से तत्व को 2004-12-05T09:22:00Z पर प्रमाणित किया गया था।"

इसी प्रकार विशेषता कथन का दावा है कि:

"प्रिंसिपल की पहचान इसमें की गई है तत्व में इस संस्था के 'कर्मचारी' और 'सदस्य' गुण हैं।"

एसएएमएल 2.0 प्रोटोकॉल
SAML Core में निम्नलिखित प्रोटोकॉल निर्दिष्ट हैं:


 * अभिकथन क्वेरी और अनुरोध प्रोटोकॉल
 * # प्रमाणीकरण अनुरोध प्रोटोकॉल
 * #आर्टिफैक्ट रेजोल्यूशन प्रोटोकॉल
 * नाम पहचानकर्ता प्रबंधन प्रोटोकॉल
 * सिंगल लॉगआउट प्रोटोकॉल
 * नाम पहचानकर्ता मैपिंग प्रोटोकॉल

इन प्रोटोकॉलों में सबसे महत्वपूर्ण-प्रमाणीकरण अनुरोध प्रोटोकॉल-नीचे विस्तार से चर्चा की गई है।

प्रमाणीकरण अनुरोध प्रोटोकॉल
एसएएमएल 1.1 में वेब ब्राउजर एसएसओ प्रोफाइल पहचान प्रदाता  | आइडेंटिटी प्रोवाइडर (आईडीपी) द्वारा शुरू किए जाते हैं, यानी एक अवांछित   तत्व पहचान प्रदाता से सेवा प्रदाता (ब्राउज़र के माध्यम से) में प्रेषित होता है। (उपसर्ग   SAML प्रोटोकॉल नामस्थान को दर्शाता है।)

SAML 2.0 में, हालांकि, सेवा प्रदाता से प्रवाह शुरू होता है जो पहचान प्रदाता को एक स्पष्ट प्रमाणीकरण अनुरोध जारी करता है। परिणामी प्रमाणीकरण अनुरोध प्रोटोकॉल SAML 2.0 की एक महत्वपूर्ण नई विशेषता है।

जब एक प्रिंसिपल (या प्रिंसिपल की ओर से काम करने वाली इकाई) एक ऑथेंटिकेशन स्टेटमेंट वाला एक एश्योरमेंट प्राप्त करना चाहता है, तो ए  तत्व पहचान प्रदाता को प्रेषित किया जाता है: उपरोक्त  तत्व, जो स्पष्ट रूप से #SAML_2.0_एसरशन का अनुरोध करता है, स्पष्ट रूप से एक सेवा प्रदाता ( https://sp.example.com/SAML2 ) द्वारा जारी किया गया था और बाद में पहचान प्रदाता (ब्राउज़र के माध्यम से) को प्रस्तुत किया गया था। पहचान प्रदाता प्रिंसिपल (यदि आवश्यक हो) को प्रमाणित करता है और एक प्रमाणीकरण प्रतिक्रिया जारी करता है, जो सेवा प्रदाता (फिर से ब्राउज़र के माध्यम से) को वापस प्रेषित की जाती है।

विरूपण साक्ष्य संकल्प प्रोटोकॉल
एक एसएएमएल संदेश एक इकाई से दूसरे में या तो मूल्य या संदर्भ द्वारा प्रेषित होता है। एसएएमएल संदेश के संदर्भ को आर्टिफैक्ट कहा जाता है। एक आर्टिफैक्ट का रिसीवर एक भेजकर संदर्भ को हल करता है  आर्टिफैक्ट के जारीकर्ता से सीधे अनुरोध करें, जो आर्टिफैक्ट द्वारा संदर्भित वास्तविक संदेश के साथ प्रतिक्रिया करता है।

मान लीजिए, उदाहरण के लिए, एक पहचान प्रदाता निम्नलिखित भेजता है अनुरोध सीधे सेवा प्रदाता से (बैक चैनल के माध्यम से): जवाब में, सेवा प्रदाता संलग्न आर्टिफैक्ट द्वारा संदर्भित एसएएमएल तत्व लौटाता है। यह प्रोटोकॉल #HTTP आर्टिफैक्ट बाइंडिंग का आधार बनाता है।

एसएएमएल 2.0 बाइंडिंग्स
SAML 2.0 द्वारा समर्थित बाइंडिंग बाइंडिंग विनिर्देश (SAMLBind ):


 * SAML SOAP बाइंडिंग (SOAP 1.1 पर आधारित)
 * रिवर्स SOAP (PAOS) ​​बाइंडिंग
 * #HTTP रीडायरेक्ट बाइंडिंग
 * #HTTP पोस्ट बाइंडिंग
 * #HTTP आर्टिफैक्ट बाइंडिंग
 * SAML URI बाइंडिंग

वेब ब्राउज़र एसएसओ के लिए, एचटीटीपी रीडायरेक्ट बाइंडिंग और एचटीटीपी पोस्ट बाइंडिंग का आमतौर पर इस्तेमाल किया जाता है। उदाहरण के लिए, सेवा प्रदाता अनुरोध भेजने के लिए HTTP रीडायरेक्ट का उपयोग कर सकता है, जबकि पहचान प्रदाता प्रतिक्रिया प्रसारित करने के लिए HTTP POST का उपयोग करता है। इस उदाहरण से पता चलता है कि एक इकाई की बाध्यकारी की पसंद उसके साथी की बाध्यकारी की पसंद से स्वतंत्र है।

HTTP रीडायरेक्ट बाइंडिंग
SAML प्रोटोकॉल संदेशों को सीधे HTTP GET अनुरोध के URL क्वेरी स्ट्रिंग में ले जाया जा सकता है। व्यवहार में URL की लंबाई सीमित होने के कारण, HTTP रीडायरेक्ट बाइंडिंग छोटे संदेशों के लिए उपयुक्त है, जैसे कि  संदेश। लंबे संदेश (उदाहरण के लिए हस्ताक्षरित या एन्क्रिप्टेड SAML अभिकथन वाले, जैसे SAML प्रतिक्रियाएँ) आमतौर पर #HTTP POST बाइंडिंग जैसे अन्य बाइंडिंग के माध्यम से प्रेषित होते हैं।

एचटीटीपी रीडायरेक्ट के ज़रिए ट्रांसमिट किए गए एसएएमएल अनुरोध या जवाबों में a  या   क्वेरी स्ट्रिंग पैरामीटर, क्रमशः। भेजे जाने से पहले, संदेश उस क्रम में DEFLATE (हेडर और चेकसम के बिना), बेस 64-एन्कोडेड और URL-एन्कोडेड है। प्राप्त होने पर, मूल संदेश को पुनर्प्राप्त करने के लिए प्रक्रिया उलट दी जाती है।

उदाहरण के लिए, एन्कोडिंग  उपज के ऊपर संदेश:

https://idp.example.org/SAML2/SSO/Redirect?SAMLRequest=fZFfa8IwFMXfBb9DyXvaJtZ1BqsURRC2 Mabbw95ivc5Am3TJrXPffmmLY3%2FA15Pzuyf33On8XJXBCaxTRmeEhTEJQBdmr%2FRbRp63K3pL5rPhYOpkVdY ib%2FCon%2BC9AYfDQRB4WDvRvWWksVoY6ZQTWlbgBBZik9%2FfCR7GorYGTWFK8pu6DknnwKL%2FWEetlxmR8s BHbHJDWZqOKGdsRJM0kfQAjCUJ43KX8s78ctnIz%2Blp5xpYa4dSo1fjOKGM03i8jSeCMzGevHa2%2FBK5MNo1F dgN2JMqPLmHc0b6WTmiVbsGoTf5qv66Zq2t60x0wXZ2RkydiCJXh3CWVV1CWJgqanfl0%2Bin8xutxYOvZL18NK UqPlvZR5el%2BVhYkAgZQdsA6fWVsZXE63W2itrTQ2cVaKV2CjSSqL1v9P%2FAXv4C

अतिरिक्त सुरक्षा के लिए उपरोक्त संदेश (पठनीयता के लिए स्वरूपित) पर हस्ताक्षर किए जा सकते हैं। व्यवहार में, एक में निहित सभी डेटा, जैसे कि   जिसमें एसपी आईडी है, और  , IdP और SP के बीच पहले ही सहमति हो गई है (मैन्युअल सूचना विनिमय के माध्यम से या #SAML 2.0 मेटाडेटा के माध्यम से)। उस स्थिति में अनुरोध पर हस्ताक्षर करना सुरक्षा बाधा नहीं है। जब   IdP द्वारा पहले से ज्ञात जानकारी नहीं है, जैसे कि अभिकथन उपभोक्ता सेवा URL, सुरक्षा उद्देश्यों के लिए अनुरोध पर हस्ताक्षर करने की अनुशंसा की जाती है।

HTTP पोस्ट बाइंडिंग
निम्नलिखित उदाहरण में, सेवा प्रदाता और पहचान प्रदाता दोनों HTTP POST बाइंडिंग का उपयोग करते हैं। प्रारंभ में, सेवा प्रदाता एक एक्सएचटीएमएल फॉर्म वाले दस्तावेज़ के साथ उपयोगकर्ता एजेंट के अनुरोध का जवाब देता है: <वाक्यविन्यास लैंग = html4सख्त> <फॉर्म विधि = पोस्ट एक्शन = https://idp.example.org/SAML2/SSO/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = SAMLRequest मान = अनुरोध /> ... अन्य इनपुट पैरामीटर ....   का मूल्य  पैरामीटर a का बेस 64-एन्कोडिंग है   तत्व, जो ब्राउज़र के माध्यम से पहचान प्रदाता को प्रेषित होता है। पहचान प्रदाता पर एसएसओ सेवा अनुरोध को मान्य करती है और एक अन्य एक्सएचटीएमएल फॉर्म वाले दस्तावेज़ के साथ प्रतिक्रिया करती है: <वाक्यविन्यास लैंग = html4सख्त> <फॉर्म विधि = पोस्ट कार्रवाई = https://sp.example.com/SAML2/SSO/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = SAMLResponse मान = प्रतिक्रिया /> ...   का मूल्य  पैरामीटर a का बेस 64 एन्कोडिंग है   तत्व, जो इसी तरह सेवा प्रदाता को ब्राउज़र के माध्यम से प्रेषित किया जाता है।

प्रपत्र के सबमिशन को स्वचालित करने के लिए, जावास्क्रिप्ट की निम्न पंक्ति XHTML पृष्ठ पर कहीं भी दिखाई दे सकती है: यह निश्चित रूप से मानता है कि पृष्ठ में पहले फॉर्म तत्व में उपरोक्त SAMLResponse शामिल है  तत्व.

HTTP विरूपण साक्ष्य बाइंडिंग
संदर्भ द्वारा SAML संदेश को हल करने के लिए HTTP आर्टिफैक्ट बाइंडिंग #Artifact रिज़ॉल्यूशन प्रोटोकॉल और SAML SOAP बाइंडिंग (HTTP पर) का उपयोग करता है। निम्नलिखित विशिष्ट उदाहरण पर विचार करें। मान लीजिए कि एक सेवा प्रदाता एक भेजना चाहता है  एक पहचान प्रदाता को संदेश। प्रारंभ में, सेवा प्रदाता HTTP रीडायरेक्ट के माध्यम से पहचान प्रदाता को एक आर्टिफैक्ट भेजता है:

https://idp.example.org/SAML2/SSO/Artifact ?SAMLart=artifact

इसके बाद पहचान प्रदाता एक भेजता है  अनुरोध (जैसे कि पहले दिखाया गया #ArtifactResolveRequest) सीधे बैक चैनल के माध्यम से सेवा प्रदाता को। अंत में, सेवा प्रदाता एक देता है   तत्व जिसमें संदर्भित है   संदेश: बेशक प्रवाह दूसरी दिशा में भी जा सकता है, यानी पहचान प्रदाता एक आर्टिफैक्ट जारी कर सकता है, और वास्तव में यह अधिक सामान्य है। उदाहरण के लिए देखें, #SP रीडायरेक्ट आर्टिफैक्ट; इस विषय में बाद में IdP रीडायरेक्ट विरूपण साक्ष्य प्रोफ़ाइल उदाहरण।

विरूपण साक्ष्य प्रारूप
सामान्य तौर पर, SAML 2.0 आर्टिफैक्ट को इस तरह परिभाषित किया जाता है (SAMLBind ):

SAML_artifact:= B64 (टाइपकोड एंडपॉइंटइंडेक्स शेष आर्टिफैक्ट) टाइपकोड := बाइट1बाइट2 एंडपॉइंट इंडेक्स: = बाइट 1 बाइट 2

इस प्रकार एक SAML 2.0 विरूपण साक्ष्य में तीन घटक होते हैं: एक दो-बाइट, एक दो-बाइट  , और बाइट्स के मनमाने क्रम को कहा जाता है. जानकारी के इन तीन टुकड़ों को जोड़ा गया है और पूर्ण आर्टिफैक्ट प्राप्त करने के लिए बेस64-एन्कोडेड हैं।  e> विशिष्ट रूप से विरूपण साक्ष्य प्रारूप की पहचान करता है। SAML 2.0 0x0004 प्रकार के केवल एक ऐसे आर्टिफैक्ट को पूर्वनिर्धारित करता है।   e> विरूपण साक्ष्य जारीकर्ता द्वारा प्रबंधित एक विशेष विरूपण साक्ष्य समापन बिंदु का एक संदर्भ है (जो पहले उल्लेखित IdP या SP हो सकता है)।  डी>, जो कि प्रकार की परिभाषा से निर्धारित होता है, कलाकृतियों का मांस है।

0x0004 आर्टिफैक्ट प्रकार के प्रारूप को आगे निम्नानुसार परिभाषित किया गया है:

टाइपकोड: = 0x0004 RemainingArtifact:= SourceId MessageHandle स्रोत आईडी: = 20-बाइट_अनुक्रम मैसेजहैंडल: = 20-बाइट_अनुक्रम

इस प्रकार एक प्रकार 0x0004 आर्टिफैक्ट आकार 44 बाइट्स (एन्कोडेड) का है।  ई> बाइट्स का एक मनमाना क्रम है, हालांकि व्यवहार में,   जारीकर्ता के entityID का SHA-1 हैश है।   ई> बाइट्स का एक यादृच्छिक अनुक्रम है जो एक एसएएमएल संदेश का संदर्भ देता है कि आर्टिफैक्ट जारीकर्ता ऑन-डिमांड उत्पादन करने को तैयार है।

उदाहरण के लिए, इस हेक्स-एन्कोडेड प्रकार 0x0004 विरूपण साक्ष्य पर विचार करें:

00040000c878f3fd685c833eb03a3b0e1daa329d47338205e436913660e3e917549a59709fd8c91f2120222f

यदि आप बारीकी से देखते हैं, तो आप देख सकते हैं  (0x0004) और   (0x0000) विरूपण साक्ष्य के सामने। अगले 20 बाइट जारीकर्ता के entityID ( https://idp.example.org/SAML2 ) के SHA-1 हैश के बाद 20 रैंडम बाइट हैं। इन 44 बाइट्स का बेस64-एन्कोडिंग वही है जो आप ऊपर #ArtifactResolveRequest उदाहरण में देखते हैं।

एसएएमएल 2.0 प्रोफाइल
SAML 2.0 में, SAML 1.1 की तरह, प्राथमिक उपयोग मामला अभी भी वेब ब्राउज़र SSO है, लेकिन SAML 2.0 का दायरा SAML के पिछले संस्करणों की तुलना में व्यापक है, जैसा कि प्रोफ़ाइल की निम्नलिखित विस्तृत सूची में सुझाया गया है:


 * एसएसओ प्रोफाइल
 * #वेब_ब्राउज़र_एसएसओ_प्रोफाइल
 * उन्नत ग्राहक या प्रॉक्सी (ईसीपी) प्रोफ़ाइल
 * #Identity_Provider_Discovery_Profile
 * सिंगल लॉगआउट प्रोफाइल
 * नाम पहचानकर्ता प्रबंधन प्रोफ़ाइल
 * विरूपण साक्ष्य संकल्प प्रोफ़ाइल
 * #Assertion_Query/Request_Profile|अभिकथन क्वेरी/अनुरोध प्रोफ़ाइल
 * नाम पहचानकर्ता मानचित्रण प्रोफ़ाइल
 * SAML विशेषता प्रोफाइल
 * मूल विशेषता प्रोफ़ाइल
 * X.500/LDAP विशेषता प्रोफ़ाइल
 * UUID विशेषता प्रोफ़ाइल
 * डीसीई पीएसी विशेषता प्रोफ़ाइल
 * XACML विशेषता प्रोफ़ाइल

हालाँकि समर्थित प्रोफ़ाइलों की संख्या काफी बड़ी है, प्रोफ़ाइल विनिर्देश (SAMLProf सरलीकृत है क्योंकि प्रत्येक प्रोफ़ाइल के बाध्यकारी पहलुओं को एक अलग बाइंडिंग विनिर्देश (SAMLBind ).

वेब ब्राउजर एसएसओ प्रोफाइल
SAML 2.0 एक वेब ब्राउज़र SSO प्रोफ़ाइल निर्दिष्ट करता है जिसमें एक पहचान प्रदाता (IdP), एक सेवा प्रदाता (SP) और एक HTTP उपयोगकर्ता एजेंट चलाने वाला प्रमुख शामिल होता है। सेवा प्रदाता के पास चुनने के लिए चार बाइंडिंग हैं, जबकि पहचान प्रदाता के पास तीन हैं, जो बारह संभावित परिनियोजन परिदृश्यों की ओर ले जाता है। हम नीचे उन तीन परिनियोजन परिदृश्यों की रूपरेखा प्रस्तुत करते हैं।

एसपी पुनर्निर्देशन अनुरोध; आईडीपी पोस्ट प्रतिक्रिया
यह सबसे आम परिदृश्यों में से एक है। सेवा प्रदाता HTTP-रीडायरेक्ट बाइंडिंग का उपयोग करके IdP SSO सेवा को एक SAML अनुरोध भेजता है। पहचान प्रदाता HTTP-POST बाइंडिंग का उपयोग करके SP अभिकथन उपभोक्ता सेवा को SAML प्रतिक्रिया लौटाता है।

संदेश प्रवाह सेवा प्रदाता पर एक सुरक्षित संसाधन के अनुरोध के साथ शुरू होता है।

1. एसपी से लक्ष्य संसाधन का अनुरोध करें

प्रिंसिपल (एक HTTP उपयोगकर्ता एजेंट के माध्यम से) सेवा प्रदाता पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

सेवा प्रदाता लक्ष्य संसाधन की ओर से सुरक्षा जांच करता है। यदि सेवा प्रदाता के पास एक मान्य सुरक्षा संदर्भ पहले से मौजूद है, तो चरण 2-7 को छोड़ दें।

सेवा प्रदाता उपयोग किए जाने वाले पहचान प्रदाता की खोज के लिए किसी भी प्रकार के तंत्र का उपयोग कर सकता है, उदाहरण के लिए, उपयोगकर्ता से पूछें, पूर्व-कॉन्फ़िगर IdP का उपयोग करें, आदि।

2. आईडीपी एसएसओ सेवा पर रीडायरेक्ट करें

सेवा प्रदाता एक उपयुक्त SAMLRequest (और RelayState, यदि कोई हो) उत्पन्न करता है, फिर एक मानक HTTP 302 रीडायरेक्ट का उपयोग करके ब्राउज़र को IdP SSO सेवा पर रीडायरेक्ट करता है।

ई> टोकन सेवा प्रदाता पर रखी गई राज्य सूचना का एक अपारदर्शी संदर्भ है। का मूल्य  पैरामीटर एक डिफ्लेटेड, बेस 64-एन्कोडेड और यूआरएल-एन्कोडेड मान है   तत्व:

SP हस्ताक्षर कुंजी का उपयोग करके SAMLRequest पर हस्ताक्षर किए जा सकते हैं। आमतौर पर, हालांकि, यह आवश्यक नहीं है।

3. IdP पर SSO सेवा के लिए अनुरोध करें

उपयोगकर्ता एजेंट पहचान प्रदाता पर एसएसओ सेवा के लिए एक जीईटी अनुरोध जारी करता है:

<सिंटैक्सहाइलाइट लैंग = http हाइलाइट = 6> GET /SAML2/SSO/रीडायरेक्ट?SAMLRequest=request&RelayState=token HTTP/1.1 होस्ट: idp.example.org 

जहां के मूल्य  और   पैरामीटर वही हैं जो रीडायरेक्ट में दिए गए हैं. पहचान प्रदाता पर SSO सेवा प्रक्रिया करती है  तत्व (यूआरएल-डिकोडिंग, बेस 64-डिकोडिंग और उस क्रम में अनुरोध को बढ़ाकर) और सुरक्षा जांच करता है। यदि उपयोगकर्ता के पास वैध सुरक्षा संदर्भ नहीं है, तो पहचान प्रदाता उपयोगकर्ता को किसी भी तंत्र (विवरण छोड़े गए) के साथ पहचानता है।

4. एक्सएचटीएमएल फॉर्म के साथ प्रतिक्रिया दें

एसएसओ सेवा अनुरोध को मान्य करती है और एक्सएचटीएमएल फॉर्म वाले दस्तावेज़ के साथ प्रतिक्रिया करती है:

<वाक्यविन्यास हाइलाइट लैंग = एचटीएमएल हाइलाइट = 2-3> <फॉर्म विधि = पोस्ट कार्रवाई = https://sp.example.com/SAML2/SSO/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = SAMLResponse मान = प्रतिक्रिया /> <इनपुट प्रकार = छिपा हुआ नाम = रिलेस्टेट मूल्य = टोकन /> ...   <इनपुट प्रकार = मूल्य जमा करें = जमा करें />  

का मूल्य  पैरामीटर को चरण 3 से संरक्षित किया गया है। का मान   पैरामीटर निम्न का बेस 64 एन्कोडिंग है   तत्व:

5. एसपी में दावा उपभोक्ता सेवा का अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता पर अभिकथन उपभोक्ता सेवा के लिए एक POST अनुरोध जारी करता है:

<सिंटैक्सहाइलाइट लैंग = http हाइलाइट = 6> पोस्ट/एसएएमएल2/एसएसओ/पोस्ट एचटीटीपी/1.1 होस्ट: sp.example.com सामग्री-प्रकार: एप्लिकेशन/x-www-form-urlencoded सामग्री-लंबाई: एनएनएन SAMLResponse=प्रतिक्रिया&RelayState=token 

जहां के मूल्य  और   पैरामीटर चरण 4 पर XHTML फ़ॉर्म से लिए गए हैं।

6. लक्ष्य संसाधन पर पुनर्निर्देशित करें

अभिकथन उपभोक्ता सेवा प्रतिक्रिया को संसाधित करती है, सेवा प्रदाता पर एक सुरक्षा संदर्भ बनाती है और उपयोगकर्ता एजेंट को लक्ष्य संसाधन पर पुनर्निर्देशित करती है।

7. लक्ष्य संसाधन के लिए एसपी से फिर से अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता (फिर से) पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

8. अनुरोधित संसाधन के साथ प्रतिक्रिया दें

चूंकि एक सुरक्षा संदर्भ मौजूद है, सेवा प्रदाता संसाधन को उपयोगकर्ता एजेंट को लौटाता है।

सपा पोस्ट अनुरोध; आईडीपी पोस्ट प्रतिक्रिया
यह SAML 2.0 वेब ब्राउज़र SSO प्रोफ़ाइल (SAMLProf जहाँ सेवा प्रदाता (SP) और पहचान प्रदाता (IdP) दोनों HTTP POST बाइंडिंग का उपयोग करते हैं।

संदेश प्रवाह एसपी में एक सुरक्षित संसाधन के अनुरोध के साथ शुरू होता है।

1. एसपी से लक्ष्य संसाधन का अनुरोध करें

प्रिंसिपल (एक HTTP उपयोगकर्ता एजेंट के माध्यम से) सेवा प्रदाता पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

सेवा प्रदाता लक्ष्य संसाधन की ओर से सुरक्षा जांच करता है। यदि सेवा प्रदाता के पास एक मान्य सुरक्षा संदर्भ पहले से मौजूद है, तो चरण 2-7 को छोड़ दें।

2. एक्सएचटीएमएल फॉर्म के साथ प्रतिक्रिया दें

सेवा प्रदाता XHTML फॉर्म वाले दस्तावेज़ के साथ प्रतिक्रिया करता है: <वाक्यविन्यास हाइलाइट लैंग = एचटीएमएल हाइलाइट = 2-3> <फॉर्म विधि = पोस्ट एक्शन = https://idp.example.org/SAML2/SSO/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = SAMLRequest मान = अनुरोध /> <इनपुट प्रकार = छिपा हुआ नाम = रिलेस्टेट मूल्य = टोकन /> ...   <इनपुट प्रकार = मूल्य जमा करें = जमा करें />    ई> टोकन सेवा प्रदाता पर रखी गई राज्य सूचना का एक अपारदर्शी संदर्भ है। का मूल्य   पैरामीटर निम्न का बेस 64 एन्कोडिंग है   तत्व: से पहले  तत्व एक्सएचटीएमएल फॉर्म में डाला गया है, यह पहले बेस 64-एन्कोडेड है।

3. IdP पर SSO सेवा के लिए अनुरोध करें

उपयोगकर्ता एजेंट पहचान प्रदाता पर एसएसओ सेवा के लिए एक पोस्ट अनुरोध जारी करता है: <सिंटैक्सहाइलाइट लैंग = http हाइलाइट = 6> पोस्ट/एसएएमएल2/एसएसओ/पोस्ट एचटीटीपी/1.1 होस्ट: idp.example.org सामग्री-प्रकार: एप्लिकेशन/x-www-form-urlencoded सामग्री-लंबाई: एनएनएन

SAMLRequest=request&RelayState=token  जहां के मूल्य  और   पैरामीटर चरण 2 पर XHTML प्रपत्र से लिए गए हैं। SSO सेवा प्रक्रिया करती है   तत्व (यूआरएल-डिकोडिंग, बेस 64-डिकोडिंग और उस क्रम में अनुरोध को बढ़ाकर) और सुरक्षा जांच करता है। यदि उपयोगकर्ता के पास वैध सुरक्षा संदर्भ नहीं है, तो पहचान प्रदाता उपयोगकर्ता की पहचान करता है (विवरण छोड़ा गया)।

4. एक्सएचटीएमएल फॉर्म के साथ प्रतिक्रिया दें

एसएसओ सेवा अनुरोध को मान्य करती है और एक्सएचटीएमएल फॉर्म वाले दस्तावेज़ के साथ प्रतिक्रिया करती है: <वाक्यविन्यास हाइलाइट लैंग = एचटीएमएल हाइलाइट = 2-3> <फॉर्म विधि = पोस्ट कार्रवाई = https://sp.example.com/SAML2/SSO/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = SAMLResponse मान = प्रतिक्रिया /> <इनपुट प्रकार = छिपा हुआ नाम = रिलेस्टेट मूल्य = टोकन /> ...   <इनपुट प्रकार = मूल्य जमा करें = जमा करें />   का मूल्य  पैरामीटर को चरण 3 से संरक्षित किया गया है। का मान   पैरामीटर निम्न का बेस 64 एन्कोडिंग है   तत्व: 5. एसपी में दावा उपभोक्ता सेवा का अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता पर दावा उपभोक्ता सेवा के लिए एक POST अनुरोध जारी करता है: <सिंटैक्सहाइलाइट लैंग = http हाइलाइट = 6> पोस्ट/एसएएमएल2/एसएसओ/पोस्ट एचटीटीपी/1.1 होस्ट: sp.example.com सामग्री-प्रकार: एप्लिकेशन/x-www-form-urlencoded सामग्री-लंबाई: एनएनएन SAMLResponse=प्रतिक्रिया&RelayState=token  जहां के मूल्य  और   पैरामीटर चरण 4 पर XHTML फ़ॉर्म से लिए गए हैं।

6. लक्ष्य संसाधन पर पुनर्निर्देशित करें

अभिकथन उपभोक्ता सेवा प्रतिक्रिया को संसाधित करती है, सेवा प्रदाता पर एक सुरक्षा संदर्भ बनाती है और उपयोगकर्ता एजेंट को लक्ष्य संसाधन पर पुनर्निर्देशित करती है।

7. लक्ष्य संसाधन के लिए एसपी से फिर से अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता (फिर से) पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

8. अनुरोधित संसाधन के साथ प्रतिक्रिया दें

चूंकि एक सुरक्षा संदर्भ मौजूद है, सेवा प्रदाता संसाधन को उपयोगकर्ता एजेंट को लौटाता है।

एसपी रीडायरेक्ट आर्टिफैक्ट; IdP अनुप्रेषित विरूपण साक्ष्य
यह SAML 2.0 वेब ब्राउज़र SSO प्रोफ़ाइल (SAMLProf जहां सेवा प्रदाता (SP) और पहचान प्रदाता (IdP) दोनों HTTP आर्टिफैक्ट बाइंडिंग का उपयोग करते हैं। दोनों कलाकृतियों को HTTP GET के माध्यम से उनके संबंधित समापन बिंदुओं तक पहुँचाया जाता है।

एसपी में एक सुरक्षित संसाधन के अनुरोध के साथ संदेश प्रवाह शुरू होता है:

1. एसपी से लक्ष्य संसाधन का अनुरोध करें

प्रिंसिपल (एक HTTP उपयोगकर्ता एजेंट के माध्यम से) सेवा प्रदाता पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

सेवा प्रदाता लक्ष्य संसाधन की ओर से सुरक्षा जांच करता है। यदि सेवा प्रदाता के पास एक मान्य सुरक्षा संदर्भ पहले से मौजूद है, तो चरण 2-11 को छोड़ दें।

2. IdP पर सिंगल साइन-ऑन (SSO) सेवा पर रीडायरेक्ट करें

सेवा प्रदाता पहचान प्रदाता पर उपयोगकर्ता एजेंट को एकल साइन-ऑन (SSO) सेवा पर पुनर्निर्देशित करता है। ए  पैरामीटर और ए   रीडायरेक्ट URL में पैरामीटर जोड़े जाते हैं।

3. IdP पर SSO सेवा के लिए अनुरोध करें

उपयोगकर्ता एजेंट पहचान प्रदाता पर एसएसओ सेवा का अनुरोध करता है:

https://idp.example.org/SAML2/SSO/Artifact ?SAMLart=artifact_1&RelayState=token

कहाँ  सेवा प्रदाता और पर रखी गई राज्य की जानकारी का एक अपारदर्शी संदर्भ है   एक SAML विरूपण साक्ष्य है, दोनों चरण 2 पर जारी किए गए हैं।

4. एसपी में विरूपण साक्ष्य समाधान सेवा का अनुरोध करें

एसएसओ सेवा एक भेजकर आर्टिफैक्ट को संदर्भित करती है  सेवा प्रदाता पर विरूपण साक्ष्य समाधान सेवा के लिए SAML SOAP संदेश के लिए बाध्य तत्व: जहां का मूल्य  तत्व चरण 3 में प्रेषित SAML विरूपण साक्ष्य है।

5. SAML प्रमाणीकरण अनुरोध के साथ प्रतिक्रिया दें

सर्विस प्रोवाइडर की आर्टिफैक्ट रेजोल्यूशन सर्विस रिटर्न करती है  तत्व (एक युक्त   तत्व) पहचान प्रदाता पर एसएसओ सेवा के लिए एक SAML SOAP संदेश के लिए बाध्य: SSO सेवा प्रक्रिया करती है  तत्व और एक सुरक्षा जांच करता है। यदि उपयोगकर्ता के पास वैध सुरक्षा संदर्भ नहीं है, तो पहचान प्रदाता उपयोगकर्ता की पहचान करता है (विवरण छोड़ा गया)।

6. अभिकथन उपभोक्ता सेवा पर पुनर्निर्देशित करें

पहचान प्रदाता पर SSO सेवा उपयोगकर्ता एजेंट को सेवा प्रदाता पर अभिकथन उपभोक्ता सेवा पर पुनर्निर्देशित करती है। पूर्व  पैरामीटर और एक नया   रीडायरेक्ट URL में पैरामीटर जोड़े जाते हैं।

7. एसपी में अभिकथन उपभोक्ता सेवा का अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता पर दावा उपभोक्ता सेवा का अनुरोध करता है:

https://sp.example.com/SAML2/SSO/Artifact ?SAMLart=artifact_2&RelayState=token

कहाँ  चरण 3 से टोकन मान है और   चरण 6 में जारी किया गया SAML विरूपण साक्ष्य है।

8. IdP पर विरूपण साक्ष्य समाधान सेवा का अनुरोध करें

अभिकथन उपभोक्ता सेवा आर्टिफैक्ट को एक भेजकर डिरेफेरेंस करती है  पहचान प्रदाता पर विरूपण साक्ष्य समाधान सेवा के लिए SAML SOAP संदेश के लिए बाध्य तत्व: जहां का मूल्य  तत्व चरण 7 पर प्रेषित SAML विरूपण साक्ष्य है।

9. SAML अभिकथन के साथ प्रतिक्रिया दें

आइडेंटिटी प्रोवाइडर पर आर्टिफैक्ट रेजोल्यूशन सर्विस रिटर्न करती है  तत्व (एक युक्त   तत्व) सेवा प्रदाता पर दावा उपभोक्ता सेवा के लिए एक SAML SOAP संदेश के लिए बाध्य है: 10. लक्ष्य संसाधन पर पुनर्निर्देशित करें

अभिकथन उपभोक्ता सेवा प्रतिक्रिया को संसाधित करती है, सेवा प्रदाता पर एक सुरक्षा संदर्भ बनाती है और उपयोगकर्ता एजेंट को लक्ष्य संसाधन पर पुनर्निर्देशित करती है।

11. लक्ष्य संसाधन के लिए एसपी से फिर से अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता (फिर से) पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

12. अनुरोधित संसाधन के साथ प्रतिक्रिया दें

चूंकि एक सुरक्षा संदर्भ मौजूद है, सेवा प्रदाता संसाधन को उपयोगकर्ता एजेंट को लौटाता है।

पहचान प्रदाता डिस्कवरी प्रोफ़ाइल
SAML 2.0 आइडेंटिटी प्रोवाइडर डिस्कवरी प्रोफ़ाइल में नीचे दी गई अवधारणाएं शामिल हैं:


 * 'आम डोमेन'
 * 'कॉमन डोमेन कुकी'
 * 'सामान्य डोमेन कुकी लेखन सेवा'
 * 'कॉमन डोमेन कुकी रीडिंग सर्विस'

सामान्य डोमेन के एक काल्पनिक उदाहरण के रूप में, मान लें कि उदाहरण यूके (example.co.uk) और उदाहरण Deutschland (example.de) आभासी संगठन उदाहरण ग्लोबल एलायंस (example.com) से संबंधित हैं। इस उदाहरण में, 'example.com' डोमेन सामान्य डोमेन है। उदाहरण यूके और उदाहरण Deutschland दोनों की इस डोमेन में मौजूदगी है (uk.example.com और de.example.com, सम्मान)।

सामान्य डोमेन कुकी एक सुरक्षित ब्राउज़र कुकी है जिसका दायरा सामान्य डोमेन तक सीमित है। प्रत्येक ब्राउज़र उपयोगकर्ता के लिए, यह कुकी हाल ही में विज़िट किए गए IdPs की एक इतिहास सूची संग्रहीत करती है। कुकी का नाम और मान IdP डिस्कवरी प्रोफ़ाइल (SAMLProf ).

प्रमाणीकरण के एक सफल कार्य के बाद, आईडीपी सामान्य डोमेन कुकी लेखन सेवा का अनुरोध करता है। यह सेवा IdP के विशिष्ट पहचानकर्ता को सामान्य डोमेन कुकी में जोड़ती है। एसपी, जब इसे एक संरक्षित संसाधन के लिए एक अप्रमाणित अनुरोध प्राप्त होता है, तो सामान्य डोमेन कुकी रीडिंग सर्विस से अनुरोध करता है कि वह ब्राउजर उपयोगकर्ता के सबसे हाल ही में उपयोग किए गए आईडीपी की खोज करे।

अभिकथन क्वेरी/अनुरोध प्रोफ़ाइल
अभिकथन क्वेरी/अनुरोध प्रोफ़ाइल एक सामान्य प्रोफ़ाइल है जो निम्नलिखित SAML 2.0 तत्वों का उपयोग करके कई प्रकार के तथाकथित प्रश्नों को समायोजित करती है:


 * द  एलिमेंट, जिसका उपयोग उसके विशिष्ट पहचानकर्ता
 * द  तत्व, जो एक सार विस्तार बिंदु है जो नए विषय-आधारित SAML प्रश्नों को परिभाषित करने की अनुमति देता है
 * द  तत्व, जिसका उपयोग प्रमाणीकरण प्राधिकरण से किसी दिए गए विषय के बारे में मौजूदा प्रमाणीकरण दावे का अनुरोध करने के लिए किया जाता है
 * द  तत्व, जिसका उपयोग किसी विशेषता प्राधिकरण से किसी दिए गए विषय के बारे में विशेषताओं का अनुरोध करने के लिए किया जाता है
 * द  तत्व, जिसका उपयोग किसी विश्वसनीय तृतीय पक्ष से प्राधिकरण निर्णय का अनुरोध करने के लिए किया जाता है

SAML SOAP बाइंडिंग का उपयोग अक्सर प्रश्नों के संयोजन में किया जाता है।

SAML विशेषता क्वेरी
विशेषता क्वेरी शायद SAML क्वेरी का सबसे महत्वपूर्ण प्रकार है। अक्सर एक अनुरोधकर्ता, प्रिंसिपल की ओर से कार्य करता है, विशेषताओं के लिए एक पहचान प्रदाता से पूछताछ करता है। नीचे हम एक प्रिंसिपल द्वारा सीधे जारी किए गए प्रश्न का उदाहरण देते हैं: ध्यान दें कि  है   इस मामले में। इसे कभी-कभी एट्रिब्यूट सेल्फ़-क्वेरी कहा जाता है. एक पहचान प्रदाता निम्नलिखित अभिकथन को वापस कर सकता है, एक में लिपटा हुआ  तत्व (नहीं दिखाया गया): पहले दिखाए गए #BearerAssertion के विपरीत, इस अभिकथन का जीवनकाल X.509 प्रमाणपत्र के जीवनकाल के अनुरूप होता है जिसका उपयोग प्रिंसिपल पहचान प्रदाता को प्रमाणित करने के लिए करता है। इसके अलावा, चूंकि अभिकथन पर हस्ताक्षर किए गए हैं, इसलिए उपयोगकर्ता इस अभिकथन को एक निर्भर पक्ष को धकेल सकता है, और जब तक उपयोगकर्ता संबंधित निजी कुंजी (इसलिए नाम धारक-की-कुंजी) का अधिकार साबित कर सकता है, निर्भर पक्ष को आश्वस्त किया जा सकता है कि दावा प्रामाणिक है।

एसएएमएल 2.0 मेटाडेटा
वस्तुतः, मेटाडेटा वह है जो SAML को काम करता है (या अच्छी तरह से काम करता है)। मेटाडेटा के कुछ महत्वपूर्ण उपयोगों में शामिल हैं:


 * एक सेवा प्रदाता एक संचारित करने के लिए तैयार करता है  ब्राउज़र के माध्यम से एक पहचान प्रदाता के लिए तत्व। सेवा प्रदाता कैसे जानता है कि पहचान प्रदाता प्रामाणिक है न कि कोई दुष्ट पहचान प्रदाता उपयोगकर्ता के पासवर्ड को फ़िशिंग करने का प्रयास कर रहा है? प्रमाणीकरण अनुरोध जारी करने से पहले सेवा प्रदाता अपने विश्वसनीय पहचान प्रदाताओं की सूची मेटाडेटा में से परामर्श करता है।
 * पिछले परिदृश्य में, सेवा प्रदाता कैसे जानता है कि प्रमाणीकरण अनुरोध के साथ उपयोगकर्ता को कहाँ भेजा जाए? सेवा प्रदाता मेटाडेटा में विश्वसनीय पहचान प्रदाता के पूर्व-व्यवस्थित एंडपॉइंट स्थान की तलाश करता है।
 * एक पहचान प्रदाता एक प्राप्त करता है  ब्राउज़र के माध्यम से एक सेवा प्रदाता से तत्व। पहचान प्रदाता कैसे जानता है कि सेवा प्रदाता प्रामाणिक है और उपयोगकर्ता के बारे में व्यक्तिगत रूप से पहचाने जाने योग्य जानकारी की कटाई करने की कोशिश कर रहे कुछ बुरे सेवा प्रदाता नहीं हैं? प्रमाणीकरण प्रतिक्रिया जारी करने से पहले पहचान प्रदाता मेटाडेटा में अपने विश्वसनीय सेवा प्रदाताओं की सूची से परामर्श करता है।
 * पिछले परिदृश्य में, पहचान प्रदाता SAML अभिकथन को कैसे एन्क्रिप्ट करता है ताकि विश्वसनीय सेवा प्रदाता (और केवल विश्वसनीय सेवा प्रदाता) अभिकथन को डिक्रिप्ट कर सके। पहचान प्रदाता अभिकथन को एन्क्रिप्ट करने के लिए मेटाडेटा में सेवा प्रदाता के एन्क्रिप्शन प्रमाणपत्र का उपयोग करता है।
 * पिछले परिदृश्य को जारी रखते हुए, पहचान प्रदाता कैसे जानता है कि उपयोगकर्ता को प्रमाणीकरण प्रतिक्रिया के साथ कहां भेजा जाए? पहचान प्रदाता मेटाडेटा में विश्वसनीय सेवा प्रदाता के पूर्व-व्यवस्थित एंडपॉइंट स्थान की तलाश करता है।
 * सेवा प्रदाता कैसे जानता है कि प्रमाणीकरण प्रतिक्रिया एक विश्वसनीय पहचान प्रदाता से आई है? सेवा प्रदाता मेटाडेटा से पहचान प्रदाता की सार्वजनिक कुंजी का उपयोग करके अभिकथन पर हस्ताक्षर की पुष्टि करता है।
 * सेवा प्रदाता को यह कैसे पता चलता है कि विश्वसनीय पहचान प्रदाता से प्राप्त आर्टिफैक्ट का समाधान कहां करना है? सेवा प्रदाता मेटाडेटा से पहचान प्रदाता की विरूपण साक्ष्य समाधान सेवा के पूर्व-व्यवस्थित एंडपॉइंट स्थान को देखता है।

मेटाडेटा पहचान प्रदाता और सेवा प्रदाता के बीच एक सुरक्षित लेनदेन सुनिश्चित करता है। मेटाडेटा से पहले, ट्रस्ट की जानकारी को मालिकाना तरीके से कार्यान्वयन में एन्कोड किया गया था। अब ट्रस्ट की जानकारी साझा करने की सुविधा मानक मेटाडेटा द्वारा दी जाती है। SAML 2.0 एक अच्छी तरह से परिभाषित, इंटरऑपरेबल मेटाडेटा प्रारूप प्रदान करता है, जिसका उपयोग संस्थाएं विश्वास प्रक्रिया को बूटस्ट्रैप करने के लिए कर सकती हैं।

पहचान प्रदाता मेटाडेटा
एक पहचान प्रदाता एक में अपने बारे में डेटा प्रकाशित करता है  तत्व:

इस एंटिटी डिस्क्रिप्टर के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * ई> विशेषता इकाई का विशिष्ट पहचानकर्ता है।
 * e> विशेषता मेटाडेटा की समाप्ति तिथि देती है।
 * ई> तत्व (जिसे सादगी के लिए छोड़ दिया गया है) में एक डिजिटल हस्ताक्षर होता है जो मेटाडेटा की प्रामाणिकता और अखंडता सुनिश्चित करता है।
 * संगठन में पहचाना गया  तत्व इकाई विवरणक द्वारा वर्णित इकाई के लिए जिम्मेदार है (SAMLMeta का खंड 2.3.2 ).
 * में संपर्क जानकारी  तत्व इकाई के लिए जिम्मेदार एक तकनीकी संपर्क की पहचान करता है। एकाधिक संपर्क और संपर्क प्रकार संभव हैं। SAMLMeta का अनुभाग 2.3.2.2 देखें।

परिभाषा के अनुसार, एक पहचान प्रदाता एक SSO सेवा का प्रबंधन करता है जो SAMLProf में निर्दिष्ट SAML वेब ब्राउज़र SSO प्रोफ़ाइल का समर्थन करती है। उदाहरण के लिए, में वर्णित पहचान प्रदाता देखें  तत्व अगले भाग में दिखाया गया है।

एसएसओ सेवा मेटाडेटा
पहचान प्रदाता पर एसएसओ सेवा का वर्णन एक में किया गया है  तत्व: पिछला मेटाडेटा तत्व पहचान प्रदाता पर SSO सेवा का वर्णन करता है। इस तत्व के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * पहचान प्रदाता सॉफ़्टवेयर को एक निजी SAML हस्ताक्षर कुंजी और/या एक निजी बैक-चैनल TLS कुंजी के साथ कॉन्फ़िगर किया गया है। संबंधित सार्वजनिक कुंजी इसमें शामिल है  IdP मेटाडेटा में तत्व। संक्षिप्तता के लिए मुख्य विवरणक से मुख्य सामग्री को हटा दिया गया है।
 * ई> की विशेषता  तत्व इंगित करता है कि SAML SOAP बाइंडिंग (SAMLBind विरूपण साक्ष्य संकल्प के लिए इस्तेमाल किया जाना चाहिए।
 * ई> की विशेषता  #SP रीडायरेक्ट आर्टिफ़ैक्ट के चरण 8 में तत्व का उपयोग किया गया है; IdP रीडायरेक्ट विरूपण साक्ष्य प्रोफ़ाइल।
 * का मूल्य  की विशेषता   तत्व के रूप में प्रयोग किया जाता है   SAML प्रकार 0x0004 विरूपण साक्ष्य के निर्माण में।
 * ई> तत्व इंगित करते हैं कि SAML नाम पहचानकर्ता प्रारूप (SAML Core एसएसओ सेवा समर्थन करती है।
 * ई> के गुण  तत्व SAML 2.0 बाइंडिंग विनिर्देश (SAMLBind ).
 * ई> की विशेषता  तत्व जो HTTP POST बाइंडिंग का समर्थन करता है, #SP POST अनुरोध के चरण 2 में उपयोग किया जाता है; आईडीपी पोस्ट प्रतिक्रिया प्रोफ़ाइल।
 * ई> की विशेषता  तत्व जो HTTP आर्टिफैक्ट बाइंडिंग का समर्थन करता है #SP रीडायरेक्ट आर्टिफैक्ट के चरण 2 में उपयोग किया जाता है; IdP रीडायरेक्ट विरूपण साक्ष्य प्रोफ़ाइल।
 * ई> तत्व एक विशेषता का वर्णन करता है कि पहचान प्रदाता दावा करने के लिए तैयार है (नीति के अधीन)।  ई> तत्व संभावित मूल्यों की गणना करते हैं जो विशेषता ले सकती है।

जैसा कि इस खंड की शुरुआत में उल्लेख किया गया है, के मान  विशेषताएँ SAML संदेशों को रूट करने के लिए एक सेवा प्रदाता द्वारा उपयोग की जाती हैं, जो एक दुष्ट पहचान प्रदाता द्वारा एक मैन-इन-द-मिडल हमले की संभावना को कम करता है।

सेवा प्रदाता मेटाडेटा
पहचान प्रदाता की तरह, एक सेवा प्रदाता अपने बारे में डेटा को एक में प्रकाशित करता है  तत्व:

इस एंटिटी डिस्क्रिप्टर के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * ई> विशेषता इकाई का विशिष्ट पहचानकर्ता है।
 * e> विशेषता मेटाडेटा की समाप्ति तिथि देती है।
 * ई> तत्व (जिसे सादगी के लिए छोड़ दिया गया है) में एक डिजिटल हस्ताक्षर होता है जो मेटाडेटा की प्रामाणिकता और अखंडता सुनिश्चित करता है।
 * संगठन में पहचाना गया  तत्व इकाई विवरणक द्वारा वर्णित इकाई के लिए जिम्मेदार है (SAMLMeta का खंड 2.3.2 ).
 * में संपर्क जानकारी  तत्व इकाई के लिए जिम्मेदार एक तकनीकी संपर्क की पहचान करता है। एकाधिक संपर्क और संपर्क प्रकार संभव हैं। SAMLMeta का अनुभाग 2.3.2.2 देखें।

परिभाषा के अनुसार, एक सेवा प्रदाता एक अभिकथन उपभोक्ता सेवा का प्रबंधन करता है जो SAMLProf में निर्दिष्ट SAML वेब ब्राउज़र SSO प्रोफ़ाइल का समर्थन करती है। उदाहरण के लिए, में वर्णित सेवा प्रदाता देखें  तत्व अगले भाग में दिखाया गया है।

दावा उपभोक्ता सेवा मेटाडेटा
अभिकथन उपभोक्ता सेवा एक में निहित है  तत्व:

के बारे में निम्नलिखित विवरणों पर ध्यान दें  मेटाडेटा तत्व:


 * सेवा प्रदाता सॉफ़्टवेयर को एक निजी SAML हस्ताक्षर कुंजी और/या एक निजी बैक-चैनल TLS कुंजी के साथ कॉन्फ़िगर किया गया है। संबंधित सार्वजनिक कुंजी इसमें शामिल है  एसपी मेटाडेटा में तत्व। संक्षिप्तता के लिए मुख्य विवरणक से मुख्य सामग्री को हटा दिया गया है।
 * इसी तरह सेवा प्रदाता सॉफ्टवेयर को एक निजी SAML डिक्रिप्शन कुंजी के साथ कॉन्फ़िगर किया गया है। एक सार्वजनिक SAML एन्क्रिप्शन कुंजी इसमें शामिल है  एसपी मेटाडेटा में तत्व। संक्षिप्तता के लिए मुख्य विवरणक से मुख्य सामग्री को हटा दिया गया है।
 * ई> एक की विशेषता  तत्व के मूल्य के रूप में प्रयोग किया जाता है   ए में विशेषता   तत्व।
 * ई> के गुण  तत्व SAML 2.0 बाइंडिंग विनिर्देश (SAMLBind ).
 * ई> की विशेषता  तत्व जो HTTP पोस्ट बाइंडिंग का समर्थन करता है  #SP पोस्ट अनुरोध के चरण 4 में उपयोग किया जाता है; आईडीपी पोस्ट प्रतिक्रिया प्रोफ़ाइल।
 * ई> की विशेषता  तत्व जो HTTP आर्टिफैक्ट बाइंडिंग का समर्थन करता है  #SP रीडायरेक्ट आर्टिफ़ैक्ट के चरण 6 में उपयोग किया जाता है; IdP रीडायरेक्ट विरूपण साक्ष्य प्रोफ़ाइल।
 * ई> तत्व का उपयोग पहचान प्रदाता द्वारा एक तैयार करने के लिए किया जाता है  वह तत्व जो वेब ब्राउज़र एसएसओ के संयोजन में सेवा प्रदाता को दिया जाता है।
 * ई> की विशेषता  तत्व के मूल्य के रूप में प्रयोग किया जाता है   ए में विशेषता   तत्व।

जैसा कि इस खंड की शुरुआत में उल्लेख किया गया है, के मान  विशेषताएँ एक पहचान प्रदाता द्वारा SAML संदेशों को रूट करने के लिए उपयोग की जाती हैं, जो एक दुष्ट सेवा प्रदाता द्वारा एक मैन-इन-द-बीच हमले की संभावना को कम करता है।

मेटाडेटा समुच्चय
पिछले उदाहरणों में, प्रत्येक  तत्व को डिजिटल रूप से हस्ताक्षरित दिखाया गया है। हालाँकि, व्यवहार में, एकाधिक   तत्वों को एक के तहत एक साथ समूहीकृत किया जाता है   संपूर्ण समुच्चय पर एकल डिजिटल हस्ताक्षर वाला तत्व:

उपरोक्त के बारे में निम्नलिखित विवरणों पर ध्यान दें  तत्व:


 * डिजिटल हस्ताक्षर (संक्षिप्तता के लिए हटा दिया गया है) संपूर्ण समुच्चय को कवर करता है।
 * ई> एक्सएमएल विशेषता को मूल तत्व में ऊपर उठाया गया है, जिसका अर्थ है कि समाप्ति तिथि प्रत्येक बच्चे के तत्व पर लागू होती है।
 * अनावश्यक नामस्थान घोषणाओं से बचने के लिए एक्सएमएल नेमस्पेस घोषणाओं को मूल तत्व में ऊपर उठाया गया है।

आमतौर पर मेटाडेटा समुच्चय विश्वसनीय तृतीय पक्षों द्वारा प्रकाशित किए जाते हैं जिन्हें संघ कहा जाता है जो समग्र में सभी मेटाडेटा की अखंडता के लिए ज़मानत देते हैं। ध्यान दें कि मेटाडेटा समुच्चय बहुत बड़ा हो सकता है, प्रति समुच्चय सैकड़ों या हजारों संस्थाओं से बना हो सकता है।

यह भी देखें

 * सुरक्षा अभिकथन मार्कअप भाषा
 * एसएएमएल 1.1
 * एसएएमएल मेटाडेटा
 * SAML-आधारित उत्पाद और सेवाएँ
 * ओपनआईडी कनेक्ट

संदर्भ
Primary references:

Secondary references:


 * P. Mishra et al. Conformance Requirements for the OASIS Security Assertion Markup Language (SAML) V2.0 – Errata Composite. Working Draft 04, 1 December 2009. Document ID sstc-saml-conformance-errata-2.0-wd-04 https://www.oasis-open.org/committees/download.php/35393/sstc-saml-conformance-errata-2.0-wd-04-diff.pdf


 * N. Ragouzis et al., Security Assertion Markup Language (SAML) V2.0 Technical Overview. OASIS Committee Draft, March 2008. Document ID sstc-saml-tech-overview-2.0-cd-02 http://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf


 * P. Madsen et al., SAML V2.0 Executive Overview. OASIS Committee Draft, April 2005. Document ID sstc-saml-tech-overview-2.0-cd-01-2col http://www.oasis-open.org/committees/download.php/13525/sstc-saml-exec-overview-2.0-cd-01-2col.pdf


 * J. Kemp et al. Authentication Context for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-authn-context-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf


 * F. Hirsch et al. Security and Privacy Considerations for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-sec-consider-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-sec-consider-2.0-os.pdf


 * J. Hodges et al. Glossary for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-glossary-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-glossary-2.0-os.pdf

Deprecated references:


 * P. Mishra et al. Conformance Requirements for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-conformance-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-conformance-2.0-os.pdf


 * S. Cantor et al. Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-core-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf


 * S. Cantor et al. Bindings for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-bindings-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf


 * S. Cantor et al. Profiles for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-profiles-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf


 * S. Cantor et al. Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-metadata-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf