एसएएमएल 2.0

सुरक्षा अभिकथन मार्कअप भाषा 2.0 (एसएएमएल 2.0) सुरक्षा डोमेन के बीच प्रमाणीकरण और प्राधिकरण पहचान के विनिमय के लिए एसएएमएल मानक का एक संस्करण है। एसएएमएल 2.0 एक एक्सएमएल-आधारित प्रोटोकॉल है जो एक एसएएमएल प्राधिकरण, जिसे एक पहचान प्रदाता कहा जाता है, और एक एसएएमएल उपभोक्ता, जिसे एक सेवा प्रदाता कहा जाता है, जिसके बीच एक प्रिंसिपल (सामान्य रूप से एक अंतिम उपयोगकर्ता) के बारे में जानकारी प्रसारित करने के लिए दावे वाले सुरक्षा टोकन का उपयोग करता है। एसएएमएल 2.0 वेब-आधारित, क्रॉस-डोमेन एकल साइन-ऑन (एसएसओ) को सक्षम करता है, जो उपयोगकर्ता को एकाधिक प्रमाणीकरण टोकन वितरित करने के प्रशासनिक ओवरहेड को कम करने में सहायता करता है।

मार्च 2005 में एसएएमएल 1.1 के अतिरिक्त एसएएमएल 2.0 को ओएसिस (संगठन) मानक के रूप में अनुमोदित किया गया था। एसएएमएल 2.0 के महत्वपूर्ण स्वरूपों को आधिकारिक दस्तावेजों एसएएमएलक्रोड, एसएएमएलबाइंड, एसएएमएलप्रोफ, और एसएएमएलमेटा में विस्तार से सम्मिलित किया गया है।

एसएएमएल 2.0 के निर्माण में 24 से अधिक कंपनियों और संगठनों के लगभग 30 व्यक्ति सम्मिलित थे। विशेष रूप से, लिबर्टी एलायंस ने अपना पहचान महासंघ रूपरेखा (आईडी-एफएफ) विनिर्देश ओएसिस को देता है, जो एसएएमएल 2.0 विनिर्देश का आधार बन गया। इस प्रकार एसएएमएल 2.0 एसएएमएल 1.1, लिबर्टी आईडी-एफएफ 1.2, और शिबोलेथ 1.3 के अभिसरण का प्रतिनिधित्व करता है।

एसएएमएल 2.0 अभिकथन
अभिकथन (असर्शन) सूचना का एक पैकेज है जो एसएएमएल प्राधिकरण द्वारा दिए गए शून्य या अधिक स्टेटमेंट प्रदान करता है। एसएएमएल अभिकथन सामान्य रूप से किसी विषय के बारे में किए जाते हैं, जिसे  तत्व द्वारा दर्शाया जाता है। एसएएमएल 2.0 विनिर्देश तीन अलग-अलग प्रकार के अभिकथन  स्टेटमेंट को परिभाषित करता है जिन्हें एसएएमएल प्राधिकरण द्वारा बनाया जा सकता है। सभी एसएएमएल-परिभाषित स्टेटमेंट एक विषय से जुड़े हुए हैं। परिभाषित तीन प्रकार के अभिकथन स्टेटमेंट इस प्रकार हैं:
 * प्रमाणीकरण स्टेटमेंट: अभिकथन विषय को एक विशेष समय पर एक विशेष माध्यम से प्रमाणित किया गया था।
 * एट्रिब्यूट स्टेटमेंट: अभिकथन विषय आपूर्ति की गई एट्रिब्यूट से जुड़ा है।
 * प्राधिकरण निर्णय स्टेटमेंट: दावे के विषय को निर्दिष्ट संसाधन तक पहुंचने की अनुमति देने का अनुरोध स्वीकार कर लिया गया है या अस्वीकार कर दिया गया है।

एसएएमएल अभिकथन का एक महत्वपूर्ण प्रकार तथाकथित "वाहक" अभिकथन है जिसका उपयोग वेब ब्राउज़र एसएसओ को सुविधाजनक बनाने के लिए किया जाता है। यहां एक पहचान प्रदाता ( https://idp.example.org/SAML2 ) द्वारा एक सेवा प्रदाता ( https://sp.example.com/SAML2 ) को जारी किए गए अल्पकालिक वाहक दावे का एक उदाहरण दिया गया है। अभिकथन में एक प्रमाणीकरण अभिकथन  और एक एट्रिब्यूट अभिकथन  दोनों सम्मिलित हैं, जो संभवतः सेवा प्रदाता अभिगम्य नियंत्रण निर्णय लेने के लिए उपयोग करता है। उपसर्ग   एसएएमएल V2.0 अभिकथन नेमस्पेस का प्रतिनिधित्व करता है।

एसएएमएल का उदाहरण
ध्यान दें कि उपरोक्त उदाहरण में  तत्व में निम्नलिखित चाइल्ड तत्व सम्मिलित हैं:


 * तत्व, जिसमें पहचान प्रदाता का विशिष्ट पहचानकर्ता होता है
 * तत्व, जिसमें   तत्व एक अखंडता-संरक्षित डिजिटल चिन्ह (दिखाया नहीं गया) होता है
 * तत्व, जो प्रमाणित प्रिंसिपल की पहचान करता है लेकिन इस स्थितियों में प्रिंसिपल की पहचान गोपनीयता के कारणों के लिए एक ओपेक अस्थायी पहचानकर्ता के पीछे छिपी हुई है
 * तत्व, जो उन शर्तों को देता है जिनके अंतर्गत अभिकथन को वैध माना जाना है
 * तत्व, जो पहचान प्रदाता पर प्रमाणीकरण के कार्य का वर्णन करता है
 * तत्व, जो प्रमाणित प्रिंसिपल से जुड़े एक बहु-मान एट्रिब्यूट का दावा करता है

शब्दों में, अभिकथन निम्नलिखित जानकारी को एन्कोड करता है:

"अभिकथन ( b07b804c-7c29-ea16-7300-4f3d6f7928ac ) पहचान प्रदाता द्वारा 2004-12-05T09:22:05Z समय (https://idp.example.org/SAML2) पर जारी किया गया था विशेष रूप से सेवा प्रदाता (https://sp.example.com/SAML2) के लिए विषय (3f7b3dcf-1674-4ecd-92c8-1544f346baf8) के संबंध में जारी किया गया था।"

प्रमाणीकरण स्टेटमेंट, विशेष रूप से, निम्नलिखित पर एसर्ट करता है:

"तत्व में पहचाने गए प्रिंसिपल को एक संरक्षित चैनल पर भेजे गए पासवर्ड के माध्यम से '2004-12-05T09:22:00Z' समय पर प्रमाणित किया गया था।"

इसी प्रकार एट्रिब्यूट स्टेटमेंट का दावा है कि:

"तत्व में पहचाने गए प्रिंसिपल के पास इस संस्थान में 'स्टाफ' और 'मेम्बर' एट्रिब्यूट हैं।"

एसएएमएल 2.0 प्रोटोकॉल
एसएएमएल क्रोड में निम्नलिखित प्रोटोकॉल निर्दिष्ट हैं:


 * अभिकथन प्रश्न और अनुरोध प्रोटोकॉल
 * प्रमाणीकरण अनुरोध प्रोटोकॉल
 * अर्टिफैक्ट रेजोल्यूशन प्रोटोकॉल
 * नाम पहचानकर्ता प्रबंधन प्रोटोकॉल
 * एकल लॉगआउट प्रोटोकॉल
 * नाम पहचानकर्ता मानचित्रण प्रोटोकॉल

इन प्रोटोकॉलों में सबसे महत्वपूर्ण-प्रमाणीकरण अनुरोध प्रोटोकॉल-नीचे विस्तार से चर्चा की गई है।

प्रमाणीकरण अनुरोध प्रोटोकॉल
एसएएमएल 1.1 वेब ब्राउज़र में एसएसओ प्रोफाइल पहचान प्रदाता (आईडीपी) द्वारा प्रारंभ की जाती है, अर्थात, एक अवांछित  तत्व पहचान प्रदाता से सेवा प्रदाता (ब्राउज़र के माध्यम से) में प्रेषित होता है। उपसर्ग   एसएएमएल प्रोटोकॉल नेमस्पेस को दर्शाता है।

एसएएमएल 2.0 में, हालांकि, सेवा प्रदाता से प्रवाह प्रारंभ होता है जो पहचान प्रदाता को एक स्पष्ट प्रमाणीकरण अनुरोध जारी करता है। परिणामी प्रमाणीकरण अनुरोध प्रोटोकॉल एसएएमएल 2.0 की एक महत्वपूर्ण नई एट्रिब्यूट है।

जब कोई प्रिंसिपल (या प्रिंसिपल की ओर से कार्य करने वाली एंटिटी) एक प्रमाणीकरण कथन युक्त दावा प्राप्त करना चाहता है, तो एक   तत्व पहचान प्रदाता को प्रेषित किया जाता है: उपरोक्त  तत्व, जो स्पष्ट रूप से एसएएमएल_2.0 प्रमाणीकरण स्टेटमेंट एसरशन का अनुरोध करता है, स्पष्ट रूप से एक सेवा प्रदाता (https://sp.example.com/SAML2) द्वारा जारी किया गया था और बाद में पहचान प्रदाता (ब्राउज़र के माध्यम से) को प्रस्तुत किया गया था। पहचान प्रदाता प्रिंसिपल (यदि आवश्यक हो) को प्रमाणित करता है और एक प्रमाणीकरण प्रतिक्रिया जारी करता है, जो सेवा प्रदाता (पुनः ब्राउज़र के माध्यम से) को वापस प्रेषित की जाती है।

अर्टिफैक्ट रिज़ॉल्यूशन प्रोटोकॉल
एक एसएएमएल संदेश एक एंटिटी से दूसरी एंटिटी में मूल्य या संदर्भ द्वारा प्रेषित किया जाता है। एसएएमएल संदेश के संदर्भ को आर्टिफैक्ट कहा जाता है। किसी आर्टिफैक्ट का अभिग्राही प्रत्यक्ष आर्टिफैक्ट निर्गमक को  अनुरोध प्रेषित करके संदर्भ का समाधान करता है, जो फिर आर्टिफैक्ट द्वारा संदर्भित वास्तविक संदेश के साथ प्रतिक्रिया करता है।

मान लीजिए, उदाहरण के लिए, एक पहचान प्रदाता निम्नलिखित  अनुरोध प्रत्यक्ष सेवा प्रदाता से (बैक चैनल के माध्यम से) प्रेषित करता है: प्रतिक्रिया में, सेवा प्रदाता संलग्न अर्टिफैक्ट द्वारा संदर्भित एसएएमएल तत्व वापस करता है। यह प्रोटोकॉल हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल (एचटीटीपी) अर्टिफैक्ट बाइंडिंग का आधार बनाता है।

एसएएमएल 2.0 बाइंडिंग्स
एसएएमएल 2.0 द्वारा समर्थित बाइंडिंग बाइंडिंग विनिर्देश (एसएएमएलबाइंड) में उल्लिखित किया गया है:


 * एसएएमएल एसओएपी बाइंडिंग एसओएपी 1.1 पर आधारित
 * प्रतिवर्त एसओएपी (पीएओएस) ​​बाइंडिंग
 * हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पुनर्निर्देशन बाइंडिंग
 * हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पीएएसटी बाइंडिंग
 * हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग
 * एसएएमएल यूआरआई बाइंडिंग

वेब ब्राउज़र एसएसओ के लिए, एचटीटीपी पुनर्निर्देशन बाइंडिंग और एचटीटीपी पीएएसटी बाइंडिंग का सामान्य रूप से उपयोग किया जाता है। उदाहरण के लिए, सेवा प्रदाता अनुरोध भेजने के लिए हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पुनर्निर्देशन का उपयोग कर सकता है, जबकि पहचान प्रदाता प्रतिक्रिया प्रसारित करने के लिए हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पीएएसटी का उपयोग करता है। इस उदाहरण से पता चलता है कि एक एंटिटी की बाइंडिंग के चयन उसके भागीदार की बाइंडिंग के चयन से स्वतंत्र है।

हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पुनर्निर्देशन बाइंडिंग
एसएएमएल प्रोटोकॉल संदेशों को प्रत्यक्ष हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल जीईटी अनुरोध के यूआरएल जांच स्ट्रिंग में ले जाया जा सकता है। व्यवहार में यूआरएल की लंबाई सीमित होने के कारण, हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पुनर्निर्देशन बाइंडिंग छोटे संदेशों के लिए उपयुक्त है, जैसे कि  संदेश है। लंबे संदेश (उदाहरण के लिए हस्ताक्षरित या एन्क्रिप्टेड एसएएमएल दावे वाले, जैसे एसएएमएल प्रतिक्रियाएं) सामान्य रूप से अन्य बाइंडिंग जैसे एचटीटीपी पीएएसटी बाइंडिंग के माध्यम से प्रेषित होते हैं।

एचटीटीपी पुनर्निर्देशन के माध्यम से प्रेषित एसएएमएल अनुरोधों या प्रतिक्रियाओं में क्रमशः  या   जांच स्ट्रिंग पैरामीटर होता है। प्रेषित किए जाने से पहले, संदेश को उस क्रम में (हेडर और चेकसम के बिना)  बेस 64-एन्कोडेड और यूआरएल-एन्कोडेड डिफ्लेट किया जाता है। प्राप्त होने पर, मूल संदेश को पुनर्प्राप्त करने के लिए प्रक्रिया सुरक्षित कर दी जाती है।

उदाहरण के लिए, उपरोक्त  संदेश को एन्कोड करने से परिणाम मिलते हैं:

https://idp.example.org/SAML2/SSO/Redirect?SAMLRequest=fZFfa8IwFMXfBb9DyXvaJtZ1BqsURRC2 Mabbw95ivc5Am3TJrXPffmmLY3%2FA15Pzuyf33On8XJXBCaxTRmeEhTEJQBdmr%2FRbRp63K3pL5rPhYOpkVdY ib%2FCon%2BC9AYfDQRB4WDvRvWWksVoY6ZQTWlbgBBZik9%2FfCR7GorYGTWFK8pu6DknnwKL%2FWEetlxmR8s BHbHJDWZqOKGdsRJM0kfQAjCUJ43KX8s78ctnIz%2Blp5xpYa4dSo1fjOKGM03i8jSeCMzGevHa2%2FBK5MNo1F dgN2JMqPLmHc0b6WTmiVbsGoTf5qv66Zq2t60x0wXZ2RkydiCJXh3CWVV1CWJgqanfl0%2Bin8xutxYOvZL18NK UqPlvZR5el%2BVhYkAgZQdsA6fWVsZXE63W2itrTQ2cVaKV2CjSSqL1v9P%2FAXv4C

अतिरिक्त सुरक्षा के लिए उपरोक्त संदेश (पठनीयता के लिए स्वरूपित) पर हस्ताक्षर किया जा सकता है। व्यवहार में में निहित सभी डेटा जैसे कि   जिसमें एसपी आईडी है, और , आईडीपी और एसपी के बीच  (मैन्युअल सूचना विनिमय के माध्यम से या एसएएमएल 2.0 मेटाडेटा के माध्यम से) पहले ही सहमति हो गई है। उस स्थिति में अनुरोध पर चिन्ह करना सुरक्षा बाधा नहीं है। जब   आईडीपी द्वारा पहले से ज्ञात जानकारी नहीं है, जैसे कि अभिकथन उपभोक्ता सेवा यूआरएल, सुरक्षा उद्देश्यों के लिए अनुरोध पर चिन्ह करने की अनुशंसा की जाती है।

हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पीएएसटी बाइंडिंग
निम्नलिखित उदाहरण में, सेवा प्रदाता और पहचान प्रदाता दोनों हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पीएएसटी बाइंडिंग का उपयोग करते हैं। प्रारंभ में, सेवा प्रदाता एक एक्सएचटीएमएल प्ररूप वाले दस्तावेज़ के साथ उपयोगकर्ता कारक के अनुरोध की प्रतिक्रिया देता है:   ... other input parameter.... पैरामीटर का मान  तत्व का बेस 64-एन्कोडिंग है, जो ब्राउज़र के माध्यम से पहचान प्रदाता को प्रेषित होता है। पहचान प्रदाता की एसएसओ सेवा अनुरोध को मान्य करती है और एक अन्य एक्सएचटीएमएल प्ररूप वाले दस्तावेज़ के साथ प्रतिक्रिया करती है:   ... पैरामीटर का मान   तत्व का बेस 64 एन्कोडिंग है, जो ब्राउज़र के माध्यम से सेवा प्रदाता को भी प्रेषित होता है।

प्रपत्र के प्रस्तुतीकरण को स्वचालित करने के लिए, जावास्क्रिप्ट की निम्न पंक्ति एक्सएचटीएमएल पेज पर कहीं भी दर्शाया जा सकता है: यह निश्चित रूप से मानता है कि पेज में पहले प्ररूप तत्व में उपरोक्त  सम्मिलित है, जिसमे   तत्व  सम्मिलित है

हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग
संदर्भ द्वारा एसएएमएल संदेश को हल करने के लिए हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग रिज़ॉल्यूशन प्रोटोकॉल और एसएएमएल एसओएपी बाइंडिंग (हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पर) का उपयोग करता है। निम्नलिखित विशिष्ट उदाहरण पर विचार करें। मान लीजिए कि कोई सेवा प्रदाता किसी पहचान प्रदाता को  संदेश प्रेषित करना  चाहता है।  प्रारंभ में, सेवा प्रदाता हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पुनर्निर्देशन के माध्यम से पहचान प्रदाता को एक अर्टिफैक्ट प्रेषित करता है:

https://idp.example.org/SAML2/SSO/Artifact?SAMLart= artifact

इसके बाद पहचान प्रदाता एक   अनुरोध (जैसे कि पहले दिखाया गया   ) सीधे सेवा प्रदाता को बैक चैनल के माध्यम से प्रेषित करता है। अंत में, सेवा प्रदाता एक   तत्व प्रतिवर्त करता है, जिसमें संदर्भित    संदेश है: निःसंदेह संचार दूसरी दिशा में भी जा सकता है, अर्थात, पहचान प्रदाता एक आर्टिफैक्ट जारी कर सकता है, और वास्तव में यह अधिक सामान्य है। उदाहरण के लिए, इस विषय में बाद में "द्विक आर्टिफैक्ट" प्रोफ़ाइल उदाहरण देखें।

अर्टिफैक्ट प्रारूप
सामान्य रूप से, एसएएमएल 2.0 अर्टिफैक्ट को (एसएएमएलबाइंड ) इस तरह परिभाषित किया जाता है: SAML_artifact := B64 (TypeCode EndpointIndex RemainingArtifact) TypeCode     := Byte1Byte2 EndpointIndex := Byte1Byte2 इस प्रकार एक एसएएमएल 2.0 अर्टिफैक्ट में तीन घटक होते हैं: एक दो-बाइट , एक दो-बाइट  , और बाइट्स के यादृच्छिक क्रम जिसे  को कहा जाता है जानकारी के इन तीन भागों को जोड़ा गया है और पूर्ण अर्टिफैक्ट प्राप्त करने के लिए बेस64-एन्कोडेड हैं।

विशिष्ट रूप से अर्टिफैक्ट प्रारूप की पहचान करता है। एसएएमएल 2.0 0x0004 प्रकार के केवल एक ऐसे अर्टिफैक्ट    को पूर्वनिर्धारित करता है। अर्टिफैक्ट  निर्गमक द्वारा प्रबंधित एक विशेष अर्टिफैक्ट  समापन बिंदु का एक संदर्भ है जो पहले उल्लेखित आईडीपी या एसपी हो सकता है।   जो कि प्रकार की परिभाषा से निर्धारित होता है, कि वह आर्टिफैक्ट का प्रमुख अंश है।

टाइप 0x0004 आर्टिफैक्ट का प्रारूप आगे इस प्रकार परिभाषित किया गया है: TypeCode           := 0x0004 RemainingArtifact  := SourceId MessageHandle SourceId           := 20-byte_sequence MessageHandle      := 20-byte_sequence इस प्रकार एक टाइप 0x0004 अर्टिफैक्ट आकार 44 बाइट्स (एन्कोडेड) का है।  ई> बाइट्स का एक यादृच्छिक क्रम है, हालांकि व्यवहार में,   निर्गमक के एंटिटीआईडी का एसएचए-1 हैश है।    बाइट्स का एक यादृच्छिक अनुक्रम है जो एक एसएएमएल संदेश का संदर्भ देता है कि अर्टिफैक्ट निर्गमक मांग पर उत्पादन करने के लिए तैयार है।

उदाहरण के लिए, इस हेक्स-एन्कोडेड टाइप 0x0004 अर्टिफैक्ट पर विचार करें:

00040000c878f3fd685c833eb03a3b0e1daa329d47338205e436913660e3e917549a59709fd8c91f2120222f

यदि आप ध्यान से देखें, तो आप आर्टिफैक्ट के सामने  (0x0004) और   (0x0000) देख सकते हैं। अगले 20 बाइट निर्गमक के एंटिटीआईडी ( https://idp.example.org/SAML2 ) के एसएचए-1 हैश के बाद 20 यादृच्छिक बाइट हैं। इन 44 बाइट्स का बेस64-एन्कोडिंग वही है जो आप ऊपर    उदाहरण में देखते हैं।

एसएएमएल 2.0 प्रोफाइल
एसएएमएल 2.0 में, एसएएमएल 1.1 की तरह, प्राथमिक उपयोग की स्थिति अभी भी वेब ब्राउज़र एसएसओ है, लेकिन एसएएमएल 2.0 का विस्तार एसएएमएल के पूर्व संस्करणों की तुलना में व्यापक है, जैसा कि प्रोफाइल की निम्नलिखित विस्तृत सूची में सुझाया गया है:


 * एसएसओ प्रोफाइल
 * वेब ब्राउज़र एसएसओ प्रोफाइल
 * उन्नत ग्राहक या प्रॉक्सी (ईसीपी) प्रोफ़ाइल
 * पहचान प्रदाता खोज प्रोफ़ाइल
 * एकल लॉगआउट प्रोफाइल
 * नाम पहचानकर्ता प्रबंधन प्रोफ़ाइल
 * अर्टिफैक्ट रिज़ॉल्यूशन प्रोफ़ाइल
 * अभिकथन जांच/अनुरोध प्रोफ़ाइल
 * नाम पहचानकर्ता मानचित्रण प्रोफ़ाइल
 * एसएएमएल एट्रिब्यूट प्रोफाइल
 * मूल एट्रिब्यूट प्रोफ़ाइल
 * एक्स.500/एलडीएपी एट्रिब्यूट प्रोफ़ाइल
 * यूयूआईडी एट्रिब्यूट प्रोफ़ाइल
 * डीसीई पीएसी एट्रिब्यूट प्रोफ़ाइल
 * एक्सएसीएमएल एट्रिब्यूट प्रोफ़ाइल

हालाँकि समर्थित प्रोफ़ाइलों की संख्या अत्यधिक बड़ी है, प्रोफ़ाइल विनिर्देश (एसएएमएलप्रॉफ) सरलीकृत है क्योंकि प्रत्येक प्रोफ़ाइल के बाइंडिंग स्वरूपों को एक अलग बाइंडिंग विनिर्देश (एसएएमएलबाइंड) मे सम्मिलित किया जाता है।

वेब ब्राउजर एसएसओ प्रोफाइल
एसएएमएल 2.0 एक वेब ब्राउज़र एसएसओ प्रोफ़ाइल निर्दिष्ट करता है जिसमें एक पहचान प्रदाता (आईडीपी), एक सेवा प्रदाता (एसपी) और एक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल उपयोगकर्ता कारक संचालन वाला प्रमुख सम्मिलित होता है। सेवा प्रदाता के पास चयन के लिए चार बाइंडिंग हैं, जबकि पहचान प्रदाता के पास तीन हैं, जो बारह संभावित परिनियोजन परिदृश्यों की ओर ले जाता है। हम नीचे उन तीन परिनियोजन परिदृश्यों की रूपरेखा प्रस्तुत करते हैं।

एसपी पुनर्निर्देशन अनुरोध; आईडीपी पीएएसटी प्रतिक्रिया
यह सबसे सामान्य परिदृश्यों में से एक है। सेवा प्रदाता हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल-पुनर्निर्देशन बाइंडिंग का उपयोग करके आईडीपी एसएसओ सेवा को एक एसएएमएल अनुरोध प्रेषित करता है। पहचान प्रदाता हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल-पीएएसटी बाइंडिंग का उपयोग करके एसपी अभिकथन उपभोक्ता सेवा को एसएएमएल प्रतिक्रिया वापस करता है।

संदेश प्रवाह सेवा प्रदाता पर एक सुरक्षित संसाधन के अनुरोध के साथ प्रारंभ होता है।

1. एसपी से लक्ष्य संसाधन का अनुरोध करें

प्रिंसिपल (एक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल उपयोगकर्ता कारक के माध्यम से) सेवा प्रदाता पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

सेवा प्रदाता लक्ष्य संसाधन की ओर से सुरक्षा जांच करता है। यदि सेवा प्रदाता के पास एक मान्य सुरक्षा संदर्भ पहले से सम्मिलित है, तो चरण 2-7 को छोड़ दें।

सेवा प्रदाता उपयोग किए जाने वाले पहचान प्रदाता की खोज के लिए किसी भी प्रकार के तंत्र का उपयोग कर सकता है, उदाहरण के लिए, उपयोगकर्ता से पूछना, पूर्व-कॉन्फ़िगर आईडीपी का उपयोग करना, आदि सम्मिलित है।

2. आईडीपी एसएसओ सेवा पर पुनर्निर्देशन करें

सेवा प्रदाता एक उपयुक्त  (और , if  any) उत्पन्न करता है, फिर एक मानक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल 302 पुनर्निर्देशन का उपयोग करके ब्राउज़र को आईडीपी एसएसओ सेवा पर पुनर्निर्देशन करता है।

टोकन सेवा प्रदाता पर रखी गई राज्य सूचना का एक ओपेक संदर्भ है।  पैरामीटर का मान एक   तत्व का डिफ्लेटेड, बेस 64-एन्कोडेड और यूआरएल-एन्कोडेड मान है: एसपी चिन्ह कुंजी का उपयोग करके  पर चिन्ह किए जा सकते हैं। सामान्य रूप से, हालांकि, यह आवश्यक नहीं है।

3. आईडीपी पर एसएसओ सेवा के लिए अनुरोध करें

उपयोगकर्ता कारक पहचान प्रदाता पर एसएसओ सेवा के लिए एक जीईटी अनुरोध जारी करता है: GET /SAML2/SSO/Redirect?SAMLRequest=request&RelayState=token HTTP/1.1 Host: idp.example.org जहां   और   पैरामीटर के मान पुन: निर्देशित में दिए गए मान के समान हैं। पहचान प्रदाता की एसएसओ सेवा   तत्व को संसाधित करती है (यूआरएल-डिकोडिंग, बेस 64-डिकोडिंग और अनुरोध को उसी क्रम में बढ़ाकर) और एक सुरक्षा जांच करती है। यदि उपयोगकर्ता के पास वैध सुरक्षा संदर्भ नहीं है, तो पहचान प्रदाता किसी भी तंत्र (विवरण छोड़े गए) के साथ उपयोगकर्ता की पहचान करता है।

4. एक्सएचटीएमएल प्ररूप के साथ प्रतिक्रिया दें

एसएसओ सेवा अनुरोध को मान्य करती है और एक्सएचटीएमएल प्ररूप वाले दस्तावेज़ के साथ प्रतिक्रिया करती है:    ...    

पैरामीटर का मान चरण 3 से संरक्षित किया गया है।   पैरामीटर का मान निम्नलिखित   तत्व का बेस64 एन्कोडिंग है:

5. एसपी में दावा उपभोक्ता सेवा का अनुरोध करें

उपयोगकर्ता कारक सेवा प्रदाता पर अभिकथन उपभोक्ता सेवा के लिए एक पीएएसटी अनुरोध जारी करता है: POST /SAML2/SSO/POST HTTP/1.1 Host: sp.example.com Content-Type: application/x-www-form-urlencoded Content-Length: nnn SAMLResponse=response&RelayState=token जहां   और   पैरामीटर के मान चरण 4 पर एक्सएचटीएमएल प्ररूप से लिए गए हैं।

6. लक्ष्य संसाधन पर पुनर्निर्देशित करें

अभिकथन उपभोक्ता सेवा प्रतिक्रिया को संसाधित करती है, सेवा प्रदाता पर एक सुरक्षा संदर्भ बनाती है और उपयोगकर्ता कारक को लक्ष्य संसाधन पर पुनर्निर्देशित करती है।

7. लक्ष्य संसाधन के लिए एसपी से पुनः अनुरोध करें

उपयोगकर्ता कारक सेवा प्रदाता (पुनः) पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

8. अनुरोधित संसाधन के साथ प्रतिक्रिया दें

चूंकि एक सुरक्षा संदर्भ सम्मिलित है, सेवा प्रदाता संसाधन को उपयोगकर्ता कारक को वापस करता है।

एसपी पीएएसटी अनुरोध; आईडीपी पीएएसटी प्रतिक्रिया
यह एसएएमएल 2.0 वेब ब्राउज़र एसएसओ प्रोफ़ाइल एसएएमएलप्रॉफ जहाँ सेवा प्रदाता (एसपी) और पहचान प्रदाता (आईडीपी) दोनों हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पीएएसटी बाइंडिंग का उपयोग करते हैं।

संदेश संदेश एसपी में एक सुरक्षित संसाधन के अनुरोध के साथ प्रारंभ होता है।

1. एसपी से लक्ष्य संसाधन का अनुरोध करें

प्रिंसिपल (एक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल उपयोगकर्ता कारक के माध्यम से) सेवा प्रदाता पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

सेवा प्रदाता लक्ष्य संसाधन की ओर से सुरक्षा जांच करता है। यदि सेवा प्रदाता के पास एक मान्य सुरक्षा संदर्भ पहले से सम्मिलित है, तो चरण 2-7 को छोड़ दें।

2. एक्सएचटीएमएल प्ररूप के साथ प्रतिक्रिया दें

सेवा प्रदाता एक्सएचटीएमएल प्ररूप वाले दस्तावेज़ के साथ प्रतिक्रिया करता है:    ...     टोकन सेवा प्रदाता पर रखी गई राज्य सूचना का एक ओपेक संदर्भ है।   पैरामीटर का मान  निम्नलिखित     तत्व का बेस 64 एन्कोडिंग है: तत्व को एक्सएचटीएमएल प्ररूप में डालने से पहले, इसे पहले बेस64-एन्कोड किया जाता है।

3. आईडीपी पर एसएसओ सेवा के लिए अनुरोध करें

उपयोगकर्ता कारक पहचान प्रदाता पर एसएसओ सेवा के लिए एक पीएएसटी अनुरोध जारी करता है: POST /SAML2/SSO/POST HTTP/1.1 Host: idp.example.org Content-Type: application/x-www-form-urlencoded Content-Length: nnn SAMLRequest=request&RelayState=token जहां   और   पैरामीटर के मान चरण 2 पर एक्सएचटीएमएल प्ररूप से लिए गए हैं। एसएसओ सेवा    तत्व को संसाधित करती है (URL-डिकोडिंग, बेस 64-डिकोडिंग और उस क्रम में अनुरोध को बढ़ाकर) और निष्पादित करती है एक सुरक्षा जांच. यदि उपयोगकर्ता के पास वैध सुरक्षा संदर्भ नहीं है, तो पहचान प्रदाता उपयोगकर्ता (विवरण छोड़ दिया गया है) की पहचान करता है।

4. एक्सएचटीएमएल प्ररूप के साथ प्रतिक्रिया दें

एसएसओ सेवा अनुरोध को मान्य करती है और एक्सएचटीएमएल प्ररूप वाले दस्तावेज़ के साथ प्रतिक्रिया करती है:    ...     का मान चरण 3 से संरक्षित किया गया है।  पैरामीटर का मान निम्नलिखित   तत्व का बेस64 एन्कोडिंग है: 5. एसपी में दावा उपभोक्ता सेवा का अनुरोध करें EDIT

उपयोगकर्ता कारक सेवा प्रदाता पर दावा उपभोक्ता सेवा के लिए एक पीएएसटी अनुरोध जारी करता है: <सिंटैक्सहाइलाइट लैंग = http हाइलाइट = 6> पीएएसटी/एसएएमएल2/एसएसओ/पीएएसटी एचटीटीपी/1.1 होस्ट: sp.example.com वस्तु-प्रकार: एप्लिकेशन/x-www-form-urlencoded वस्तु-लंबाई: एनएनएन SAMLResponse=प्रतिक्रिया&RelayState=token </वाक्यविन्यास हाइलाइट> जहां के मूल्य  और   पैरामीटर चरण 4 पर एक्सएचटीएमएल प्ररूप से लिए गए हैं।

6. लक्ष्य संसाधन पर पुनर्निर्देशित करें

अभिकथन उपभोक्ता सेवा प्रतिक्रिया को संसाधित करती है, सेवा प्रदाता पर एक सुरक्षा संदर्भ बनाती है और उपयोगकर्ता कारक को लक्ष्य संसाधन पर पुनर्निर्देशित करती है।

7. लक्ष्य संसाधन के लिए एसपी से पुनः अनुरोध करें

उपयोगकर्ता कारक सेवा प्रदाता (पुनः) पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

8. अनुरोधित संसाधन के साथ प्रतिक्रिया दें

चूंकि एक सुरक्षा संदर्भ सम्मिलित है, सेवा प्रदाता संसाधन को उपयोगकर्ता कारक को वापस करता है।

एसपी पुनर्निर्देशन अर्टिफैक्ट; आईडीपी अनुप्रेषित अर्टिफैक्ट
यह एसएएमएल 2.0 वेब ब्राउज़र एसएसओ प्रोफ़ाइल (एसएएमएलप्रॉफ जहां सेवा प्रदाता (एसपी) और पहचान प्रदाता (आईडीपी) दोनों हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग का उपयोग करते हैं। दोनों आर्टिफैक्ट को हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल जीईटी के माध्यम से उनके संबंधित समापन बिंदुओं तक पहुँचाया जाता है।

एसपी में एक सुरक्षित संसाधन के अनुरोध के साथ संदेश प्रवाह प्रारंभ होता है:

1. एसपी से लक्ष्य संसाधन का अनुरोध करें

प्रिंसिपल (एक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल उपयोगकर्ता कारक के माध्यम से) सेवा प्रदाता पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

सेवा प्रदाता लक्ष्य संसाधन की ओर से सुरक्षा जांच करता है। यदि सेवा प्रदाता के पास एक मान्य सुरक्षा संदर्भ पहले से सम्मिलित है, तो चरण 2-11 को छोड़ दें।

2. आईडीपी पर एकल साइन-ऑन (एसएसओ) सेवा पर पुनर्निर्देशन करें

सेवा प्रदाता पहचान प्रदाता पर उपयोगकर्ता कारक को एकल साइन-ऑन (एसएसओ) सेवा पर पुनर्निर्देशित करता है। ए  पैरामीटर और ए   पुनर्निर्देशन यूआरएल में पैरामीटर जोड़े जाते हैं।

3. आईडीपी पर एसएसओ सेवा के लिए अनुरोध करें

उपयोगकर्ता कारक पहचान प्रदाता पर एसएसओ सेवा का अनुरोध करता है:

https://idp.example.org/SAML2/एसएसओ/Artifact?एसएएमएलart= artifact_1&RelayState=token

कहाँ  सेवा प्रदाता और पर रखी गई राज्य की जानकारी का एक ओपेक संदर्भ है   एक एसएएमएल अर्टिफैक्ट  है, दोनों चरण 2 पर जारी किए गए हैं।

4. एसपी में अर्टिफैक्ट समाधान सेवा का अनुरोध करें

एसएसओ सेवा एक प्रेषित करके अर्टिफैक्ट को संदर्भित करती है  सेवा प्रदाता पर अर्टिफैक्ट  समाधान सेवा के लिए एसएएमएल एसओएपी संदेश के लिए बाध्य तत्व: जहां का मूल्य  तत्व चरण 3 में प्रेषित एसएएमएल अर्टिफैक्ट  है।

5. एसएएमएल प्रमाणीकरण अनुरोध के साथ प्रतिक्रिया दें

सर्विस प्रोवाइडर की अर्टिफैक्ट रेजोल्यूशन सर्विस रिटर्न करती है  तत्व (एक युक्त   तत्व) पहचान प्रदाता पर एसएसओ सेवा के लिए एक एसएएमएल एसओएपी संदेश के लिए बाध्य: एसएसओ सेवा प्रक्रिया करती है  तत्व और एक सुरक्षा जांच करता है। यदि उपयोगकर्ता के पास वैध सुरक्षा संदर्भ नहीं है, तो पहचान प्रदाता उपयोगकर्ता की पहचान करता है (विवरण छोड़ा गया)।

6. अभिकथन उपभोक्ता सेवा पर पुनर्निर्देशित करें

पहचान प्रदाता पर एसएसओ सेवा उपयोगकर्ता कारक को सेवा प्रदाता पर अभिकथन उपभोक्ता सेवा पर पुनर्निर्देशित करती है। पूर्व  पैरामीटर और एक नया   पुनर्निर्देशन यूआरएल में पैरामीटर जोड़े जाते हैं।

7. एसपी में अभिकथन उपभोक्ता सेवा का अनुरोध करें

उपयोगकर्ता कारक सेवा प्रदाता पर दावा उपभोक्ता सेवा का अनुरोध करता है:

https://sp.example.com/SAML2/एसएसओ/Artifact?एसएएमएलart= artifact_2&RelayState=token

कहाँ  चरण 3 से टोकन मान है और   चरण 6 में जारी किया गया एसएएमएल अर्टिफैक्ट  है।

8. आईडीपी पर अर्टिफैक्ट समाधान सेवा का अनुरोध करें

अभिकथन उपभोक्ता सेवा अर्टिफैक्ट को एक प्रेषित करके डिरेफेरेंस करती है  पहचान प्रदाता पर अर्टिफैक्ट  समाधान सेवा के लिए एसएएमएल एसओएपी संदेश के लिए बाध्य तत्व: जहां का मूल्य  तत्व चरण 7 पर प्रेषित एसएएमएल अर्टिफैक्ट  है।

9. एसएएमएल अभिकथन के साथ प्रतिक्रिया दें

आइडेंटिटी प्रोवाइडर पर अर्टिफैक्ट रेजोल्यूशन सर्विस रिटर्न करती है  तत्व (एक युक्त   तत्व) सेवा प्रदाता पर दावा उपभोक्ता सेवा के लिए एक एसएएमएल एसओएपी संदेश के लिए बाध्य है: 10. लक्ष्य संसाधन पर पुनर्निर्देशित करें

अभिकथन उपभोक्ता सेवा प्रतिक्रिया को संसाधित करती है, सेवा प्रदाता पर एक सुरक्षा संदर्भ बनाती है और उपयोगकर्ता कारक को लक्ष्य संसाधन पर पुनर्निर्देशित करती है।

11. लक्ष्य संसाधन के लिए एसपी से पुनः अनुरोध करें

उपयोगकर्ता कारक सेवा प्रदाता (पुनः) पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

12. अनुरोधित संसाधन के साथ प्रतिक्रिया दें

चूंकि एक सुरक्षा संदर्भ सम्मिलित है, सेवा प्रदाता संसाधन को उपयोगकर्ता कारक को वापस करता है।

पहचान प्रदाता डिस्कवरी प्रोफ़ाइल
एसएएमएल 2.0 आइडेंटिटी प्रोवाइडर डिस्कवरी प्रोफ़ाइल में नीचे दी गई अवधारणाएं सम्मिलित हैं:


 * 'सामान्य डोमेन'
 * 'कॉमन डोमेन कुकी'
 * 'सामान्य डोमेन कुकी लेखन सेवा'
 * 'कॉमन डोमेन कुकी रीडिंग सर्विस'

सामान्य डोमेन के एक काल्पनिक उदाहरण के रूप में, मान लें कि उदाहरण यूके (example.co.uk) और उदाहरण Deutschland (example.de) आभासी संगठन उदाहरण ग्लोबल एलायंस (example.com) से संबंधित हैं। इस उदाहरण में, 'example.com' डोमेन सामान्य डोमेन है। उदाहरण यूके और उदाहरण Deutschland दोनों की इस डोमेन में सम्मिलितगी है (uk.example.com और de.example.com, सम्मान)।

सामान्य डोमेन कुकी एक सुरक्षित ब्राउज़र कुकी है जिसका दायरा सामान्य डोमेन तक सीमित है। प्रत्येक ब्राउज़र उपयोगकर्ता के लिए, यह कुकी हाल ही में विज़िट किए गए आईडीपीs की एक इतिहास सूची संग्रहीत करती है। कुकी का नाम और मान आईडीपी डिस्कवरी प्रोफ़ाइल (एसएएमएलप्रॉफ ).

प्रमाणीकरण के एक सफल कार्य के बाद, आईडीपी सामान्य डोमेन कुकी लेखन सेवा का अनुरोध करता है। यह सेवा आईडीपी के विशिष्ट पहचानकर्ता को सामान्य डोमेन कुकी में जोड़ती है। एसपी, जब इसे एक संरक्षित संसाधन के लिए एक अप्रमाणित अनुरोध प्राप्त होता है, तो सामान्य डोमेन कुकी रीडिंग सर्विस से अनुरोध करता है कि वह ब्राउजर उपयोगकर्ता के सबसे हाल ही में उपयोग किए गए आईडीपी की खोज करे।

अभिकथन जांच/अनुरोध प्रोफ़ाइल
अभिकथन जांच/अनुरोध प्रोफ़ाइल एक सामान्य प्रोफ़ाइल है जो निम्नलिखित एसएएमएल 2.0 तत्वों का उपयोग करके कई प्रकार के तथाकथित प्रश्नों को समायोजित करती है:


 * द  एलिमेंट, जिसका उपयोग उसके विशिष्ट पहचानकर्ता
 * द  तत्व, जो एक सार विस्तार बिंदु है जो नए विषय-आधारित एसएएमएल प्रश्नों को परिभाषित करने की अनुमति देता है
 * द  तत्व, जिसका उपयोग प्रमाणीकरण प्राधिकरण से किसी दिए गए विषय के बारे में सम्मिलिता प्रमाणीकरण दावे का अनुरोध करने के लिए किया जाता है
 * द  तत्व, जिसका उपयोग किसी एट्रिब्यूट प्राधिकरण से किसी दिए गए विषय के बारे में एट्रिब्यूट का अनुरोध करने के लिए किया जाता है
 * द  तत्व, जिसका उपयोग किसी विश्वसनीय तृतीय पक्ष से प्राधिकरण निर्णय का अनुरोध करने के लिए किया जाता है

एसएएमएल एसओएपी बाइंडिंग का उपयोग अक्सर प्रश्नों के संयोजन में किया जाता है।

एसएएमएल एट्रिब्यूट जांच
एट्रिब्यूट जांच शायद एसएएमएल जांच का सबसे महत्वपूर्ण प्रकार है। अक्सर एक अनुरोधकर्ता, प्रिंसिपल की ओर से कार्य करता है, एट्रिब्यूट के लिए एक पहचान प्रदाता से पूछताछ करता है। नीचे हम एक प्रिंसिपल द्वारा प्रत्यक्ष जारी किए गए प्रश्न का उदाहरण देते हैं: ध्यान दें कि  है   इस स्थितियों में। इसे कभी-कभी एट्रिब्यूट सेल्फ़-जांच कहा जाता है. एक पहचान प्रदाता निम्नलिखित अभिकथन को वापस कर सकता है, एक में लिपटा हुआ  तत्व (नहीं दिखाया गया): पहले दिखाए गए #BearerAssertion के विपरीत, इस अभिकथन का जीवनकाल X.509 प्रमाणपत्र के जीवनकाल के अनुरूप होता है जिसका उपयोग प्रिंसिपल पहचान प्रदाता को प्रमाणित करने के लिए करता है। इसके अलावा, चूंकि अभिकथन पर चिन्ह किए गए हैं, इसलिए उपयोगकर्ता इस अभिकथन को एक निर्भर पक्ष को धकेल सकता है, और जब तक उपयोगकर्ता संबंधित निजी कुंजी (इसलिए नाम धारक-की-कुंजी) का अधिकार साबित कर सकता है, निर्भर पक्ष को आश्वस्त किया जा सकता है कि दावा प्रामाणिक है।

एसएएमएल 2.0 मेटाडेटा
वस्तुतः, मेटाडेटा वह है जो एसएएमएल को काम करता है (या अच्छी तरह से काम करता है)। मेटाडेटा के कुछ महत्वपूर्ण उपयोगों में सम्मिलित हैं:


 * एक सेवा प्रदाता एक संचारित करने के लिए तैयार करता है  ब्राउज़र के माध्यम से एक पहचान प्रदाता के लिए तत्व। सेवा प्रदाता कैसे जानता है कि पहचान प्रदाता प्रामाणिक है न कि कोई दुष्ट पहचान प्रदाता उपयोगकर्ता के पासवर्ड को फ़िशिंग करने का प्रयास कर रहा है? प्रमाणीकरण अनुरोध जारी करने से पहले सेवा प्रदाता अपने विश्वसनीय पहचान प्रदाताओं की सूची मेटाडेटा में से परामर्श करता है।
 * पूर्व परिदृश्य में, सेवा प्रदाता कैसे जानता है कि प्रमाणीकरण अनुरोध के साथ उपयोगकर्ता को कहाँ भेजा जाए? सेवा प्रदाता मेटाडेटा में विश्वसनीय पहचान प्रदाता के पूर्व-व्यवस्थित एंडपॉइंट स्थान की तलाश करता है।
 * एक पहचान प्रदाता एक प्राप्त करता है  ब्राउज़र के माध्यम से एक सेवा प्रदाता से तत्व। पहचान प्रदाता कैसे जानता है कि सेवा प्रदाता प्रामाणिक है और उपयोगकर्ता के बारे में व्यक्तिगत रूप से पहचाने जाने योग्य जानकारी की कटाई करने की कोशिश कर रहे कुछ बुरे सेवा प्रदाता नहीं हैं? प्रमाणीकरण प्रतिक्रिया जारी करने से पहले पहचान प्रदाता मेटाडेटा में अपने विश्वसनीय सेवा प्रदाताओं की सूची से परामर्श करता है।
 * पूर्व परिदृश्य में, पहचान प्रदाता एसएएमएल अभिकथन को कैसे एन्क्रिप्ट करता है ताकि विश्वसनीय सेवा प्रदाता (और केवल विश्वसनीय सेवा प्रदाता) अभिकथन को डिक्रिप्ट कर सके। पहचान प्रदाता अभिकथन को एन्क्रिप्ट करने के लिए मेटाडेटा में सेवा प्रदाता के एन्क्रिप्शन प्रमाणपत्र का उपयोग करता है।
 * पूर्व परिदृश्य को जारी रखते हुए, पहचान प्रदाता कैसे जानता है कि उपयोगकर्ता को प्रमाणीकरण प्रतिक्रिया के साथ कहां भेजा जाए? पहचान प्रदाता मेटाडेटा में विश्वसनीय सेवा प्रदाता के पूर्व-व्यवस्थित एंडपॉइंट स्थान की तलाश करता है।
 * सेवा प्रदाता कैसे जानता है कि प्रमाणीकरण प्रतिक्रिया एक विश्वसनीय पहचान प्रदाता से आई है? सेवा प्रदाता मेटाडेटा से पहचान प्रदाता की सार्वजनिक कुंजी का उपयोग करके अभिकथन पर चिन्ह की पुष्टि करता है।
 * सेवा प्रदाता को यह कैसे पता चलता है कि विश्वसनीय पहचान प्रदाता से प्राप्त अर्टिफैक्ट का समाधान कहां करना है? सेवा प्रदाता मेटाडेटा से पहचान प्रदाता की अर्टिफैक्ट समाधान सेवा के पूर्व-व्यवस्थित एंडपॉइंट स्थान को देखता है।

मेटाडेटा पहचान प्रदाता और सेवा प्रदाता के बीच एक सुरक्षित लेनदेन सुनिश्चित करता है। मेटाडेटा से पहले, ट्रस्ट की जानकारी को मालिकाना तरीके से कार्यान्वयन में एन्कोड किया गया था। अब ट्रस्ट की जानकारी साझा करने की सुविधा मानक मेटाडेटा द्वारा दी जाती है। एसएएमएल 2.0 एक अच्छी तरह से परिभाषित, इंटरऑपरेबल मेटाडेटा प्रारूप प्रदान करता है, जिसका उपयोग संस्थाएं विश्वास प्रक्रिया को बूटस्ट्रैप करने के लिए कर सकती हैं।

पहचान प्रदाता मेटाडेटा
एक पहचान प्रदाता एक में अपने बारे में डेटा प्रकाशित करता है  तत्व:

इस एंटिटी डिस्क्रिप्टर के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * ई> एट्रिब्यूट एंटिटी का विशिष्ट पहचानकर्ता है।
 * e> एट्रिब्यूट मेटाडेटा की अवसान तिथि देती है।
 * ई> तत्व (जिसे सादगी के लिए छोड़ दिया गया है) में एक डिजिटल चिन्ह होता है जो मेटाडेटा की प्रामाणिकता और अखंडता सुनिश्चित करता है।
 * संगठन में पहचाना गया  तत्व एंटिटी विवरणक द्वारा वर्णित एंटिटी के लिए जिम्मेदार है (एसएएमएलMeta का खंड 2.3.2 ).
 * में संपर्क जानकारी  तत्व एंटिटी के लिए जिम्मेदार एक तकनीकी संपर्क की पहचान करता है। एकाधिक संपर्क और संपर्क प्रकार संभव हैं। एसएएमएलMeta का अनुभाग 2.3.2.2 देखें।

परिभाषा के अनुसार, एक पहचान प्रदाता एक एसएसओ सेवा का प्रबंधन करता है जो एसएएमएलप्रॉफ में निर्दिष्ट एसएएमएल वेब ब्राउज़र एसएसओ प्रोफ़ाइल का समर्थन करती है। उदाहरण के लिए, में वर्णित पहचान प्रदाता देखें  तत्व अगले भाग में दिखाया गया है।

एसएसओ सेवा मेटाडेटा
पहचान प्रदाता पर एसएसओ सेवा का वर्णन एक में किया गया है  तत्व: पिछला मेटाडेटा तत्व पहचान प्रदाता पर एसएसओ सेवा का वर्णन करता है। इस तत्व के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * पहचान प्रदाता सॉफ़्टवेयर को एक निजी एसएएमएल चिन्ह कुंजी और/या एक निजी बैक-चैनल टीएलएस कुंजी के साथ कॉन्फ़िगर किया गया है। संबंधित सार्वजनिक कुंजी इसमें सम्मिलित है  आईडीपी मेटाडेटा में तत्व। संक्षिप्तता के लिए मुख्य विवरणक से मुख्य वस्तु को हटा दिया गया है।
 * ई> की एट्रिब्यूट  तत्व इंगित करता है कि एसएएमएल एसओएपी बाइंडिंग (एसएएमएलबाइंड अर्टिफैक्ट  रिज़ॉल्यूशन के लिए उपयोग किया जाना चाहिए।
 * ई> की एट्रिब्यूट  #एसपी पुनर्निर्देशन आर्टिफ़ैक्ट के चरण 8 में तत्व का उपयोग किया गया है; आईडीपी पुनर्निर्देशन अर्टिफैक्ट  प्रोफ़ाइल।
 * का मूल्य  की एट्रिब्यूट   तत्व के रूप में प्रयोग किया जाता है   एसएएमएल प्रकार 0x0004 अर्टिफैक्ट  के निर्माण में।
 * ई> तत्व इंगित करते हैं कि एसएएमएल नाम पहचानकर्ता प्रारूप (एसएएमएल क्रोड एसएसओ सेवा समर्थन करती है।
 * ई> के गुण  तत्व एसएएमएल 2.0 बाइंडिंग विनिर्देश (एसएएमएलबाइंड ).
 * ई> की एट्रिब्यूट  तत्व जो हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पीएएसटी बाइंडिंग का समर्थन करता है,  पीएएसटी अनुरोध के चरण 2 में उपयोग किया जाता है; आईडीपी पीएएसटी प्रतिक्रिया प्रोफ़ाइल।
 * ई> की एट्रिब्यूट  तत्व जो हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग का समर्थन करता है #एसपी पुनर्निर्देशन अर्टिफैक्ट के चरण 2 में उपयोग किया जाता है; आईडीपी पुनर्निर्देशन अर्टिफैक्ट  प्रोफ़ाइल।
 * ई> तत्व एक एट्रिब्यूट का वर्णन करता है कि पहचान प्रदाता दावा करने के लिए तैयार है (नीति के अधीन)।  ई> तत्व संभावित मूल्यों की गणना करते हैं जो एट्रिब्यूट ले सकती है।

जैसा कि इस खंड के प्रारंभ में उल्लेख किया गया है, के मान  एट्रिब्यूटएँ एसएएमएल संदेशों को रूट करने के लिए एक सेवा प्रदाता द्वारा उपयोग की जाती हैं, जो एक दुष्ट पहचान प्रदाता द्वारा एक मैन-इन-द-मिडल हमले की संभावना को कम करता है।

सेवा प्रदाता मेटाडेटा
तत्व पहचान प्रदाता की तरह, एक सेवा प्रदाता अपने बारे में डेटा को एक में प्रकाशित करता है :

इस एंटिटी डिस्क्रिप्टर के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * ई> एट्रिब्यूट एंटिटी का विशिष्ट पहचानकर्ता है।
 * e> एट्रिब्यूट मेटाडेटा की अवसान तिथि देती है।
 * ई> तत्व (जिसे सादगी के लिए छोड़ दिया गया है) में एक डिजिटल चिन्ह होता है जो मेटाडेटा की प्रामाणिकता और अखंडता सुनिश्चित करता है।
 * संगठन में पहचाना गया  तत्व एंटिटी विवरणक द्वारा वर्णित एंटिटी के लिए जिम्मेदार है (एसएएमएलMeta का खंड 2.3.2 ).
 * में संपर्क जानकारी  तत्व एंटिटी के लिए जिम्मेदार एक तकनीकी संपर्क की पहचान करता है। एकाधिक संपर्क और संपर्क प्रकार संभव हैं। एसएएमएलMeta का अनुभाग 2.3.2.2 देखें।

परिभाषा के अनुसार, एक सेवा प्रदाता एक अभिकथन उपभोक्ता सेवा का प्रबंधन करता है जो एसएएमएलप्रॉफ में निर्दिष्ट एसएएमएल वेब ब्राउज़र एसएसओ प्रोफ़ाइल का समर्थन करती है। उदाहरण के लिए, में वर्णित सेवा प्रदाता देखें  तत्व अगले भाग में दिखाया गया है।

अभिकथन उपभोक्ता सेवा मेटाडेटा
अभिकथन उपभोक्ता सेवा मे  तत्व में समाहित है:

मेटाडेटा तत्व के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * सेवा प्रदाता सॉफ़्टवेयर को एक निजी एसएएमएल चिन्ह कुंजी और/या एक निजी बैक-चैनल टीएलएस कुंजी के साथ कॉन्फ़िगर किया गया है। संबंधित सार्वजनिक कुंजी एसपी मेटाडेटा में  तत्व में सम्मिलित है। संक्षिप्तता के लिए मुख्य वस्तु को मुख्य विवरणक से हटा दिया गया है।
 * इसी तरह सेवा प्रदाता सॉफ्टवेयर को एक निजी एसएएमएल डिक्रिप्शन कुंजी के साथ कॉन्फ़िगर किया गया है। एक सार्वजनिक एसएएमएल एन्क्रिप्शन कुंजी   एसपी मेटाडेटा में तत्व में सम्मिलित है। संक्षिप्तता के लिए मुख्य विवरणक से मुख्य वस्तु को हटा दिया गया है।
 * तत्व की    एट्रिब्यूट का उपयोग    तत्व में   एट्रिब्यूट के मान के रूप में किया जाता है।
 * तत्वों की   एट्रिब्यूटएँ एसएएमएल 2.0 बाइंडिंग विनिर्देश (एसएएमएलबीआईएनडी) में निर्दिष्ट मानक यूआरआई हैं।
 * तत्व की    की एट्रिब्यूट  जो हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पीएएसटी बाइंडिंग    का समर्थन करती है, जिसका उपयोग "द्विक पीओएसटी" प्रोफ़ाइल के चरण 4 में किया जाता है।
 * तत्व की    की एट्रिब्यूट जो हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग   का समर्थन करती है, जिसका उपयोग "द्विक आर्टिफैक्ट" प्रोफ़ाइल के चरण 6 में किया जाता है।
 * तत्व का उपयोग पहचान प्रदाता द्वारा एक  तत्व तैयार करने के लिए किया जाता है जिसे वेब ब्राउज़र एसएसओ के साथ सेवा प्रदाता को भेजा जाता है।
 * तत्व की    एट्रिब्यूट का उपयोग    तत्व में   एट्रिब्यूट के मान के रूप में किया जाता है।

जैसा कि इस खंड के प्रारंभ में उल्लेख किया गया है,   एट्रिब्यूट के मानो का एक पहचान प्रदाता द्वारा एसएएमएल संदेशों को रूट करने के लिए उपयोग की जाती हैं, जो एक दुष्ट सेवा प्रदाता द्वारा एक बीच मे आक्षेप की संभावना को कम करता है।

मेटाडेटा एग्रीगेट
पूर्व उदाहरणों में, प्रत्येक  तत्व को डिजिटल रूप से हस्ताक्षरित दिखाया गया है। हालाँकि, व्यवहार में, एकाधिक   तत्वों को एक   तत्व के अंतर्गत संपूर्ण एग्रीगेट पर एकल डिजिटल चिन्ह के साथ एक साथ संग्रहित किया जाता है:

उपरोक्त   तत्व के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * डिजिटल चिन्ह (संक्षिप्तता के लिए हटा दिया गया है) संपूर्ण एग्रीगेट को सम्मिलित करता है।
 * एट्रिब्यूट को पैरेंट तत्व तक बढ़ा दिया गया है, जिसका अर्थ है कि अवसान तिथि प्रत्येक चाइल्ड तत्व पर प्रयुक्त होती है।
 * अनावश्यक नेमस्पेस घोषणाओं से संरक्षित करने के लिए एक्सएमएल नेमस्पेस घोषणाओं को पैरेंट तत्व तक बढ़ा दिया गया है।

सामान्य रूप से मेटाडेटा एग्रीगेट विश्वसनीय तृतीय पक्षों द्वारा प्रकाशित किए जाते हैं जिन्हें संघ कहा जाता है जो एग्रीगेट में सभी मेटाडेटा की अखंडता की प्रत्याभूति देते हैं। ध्यान दें कि मेटाडेटा एग्रीगेट बहुत बड़ा हो सकता है, जो प्रति एग्रीगेट सैकड़ों या हजारों इकाइयों से बना हो सकता है।

यह भी देखें

 * सुरक्षा अभिकथन मार्कअप भाषा
 * एसएएमएल 1.1
 * एसएएमएल मेटाडेटा
 * एसएएमएल-आधारित उत्पाद और सेवाएँ
 * मुक्तआईडी संयोजन

संदर्भ
Primary references:

Secondary references:


 * P. Mishra et al. Conformance Requirements for the OASIS Security Assertion Markup Language (SAML) V2.0 – Errata Composite. Working Draft 04, 1 December 2009. Document ID sstc-saml-conformance-errata-2.0-wd-04 https://www.oasis-open.org/committees/download.php/35393/sstc-saml-conformance-errata-2.0-wd-04-diff.pdf


 * N. Ragouzis et al., Security Assertion Markup Language (SAML) V2.0 Technical Overview. OASIS Committee Draft, March 2008. Document ID sstc-saml-tech-overview-2.0-cd-02 http://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf


 * P. Madsen et al., SAML V2.0 Executive Overview. OASIS Committee Draft, April 2005. Document ID sstc-saml-tech-overview-2.0-cd-01-2col http://www.oasis-open.org/committees/download.php/13525/sstc-saml-exec-overview-2.0-cd-01-2col.pdf


 * J. Kemp et al. Authentication Context for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-authn-context-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf


 * F. Hirsch et al. Security and Privacy Considerations for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-sec-consider-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-sec-consider-2.0-os.pdf


 * J. Hodges et al. Glossary for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-glossary-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-glossary-2.0-os.pdf

Deprecated references:


 * P. Mishra et al. Conformance Requirements for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-conformance-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-conformance-2.0-os.pdf


 * S. Cantor et al. Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-core-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf


 * S. Cantor et al. Bindings for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-bindings-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf


 * S. Cantor et al. Profiles for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-profiles-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf


 * S. Cantor et al. Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-metadata-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf