एसएएमएल 2.0

सुरक्षा अभिकथन मार्कअप भाषा 2.0 (एसएएमएल 2.0) सुरक्षा डोमेन के बीच प्रमाणीकरण और प्राधिकरण पहचान के विनिमय के लिए एसएएमएल मानक का एक संस्करण है। एसएएमएल 2.0 एक एक्सएमएल-आधारित प्रोटोकॉल है जो एक एसएएमएल प्राधिकरण, जिसे एक पहचान प्रदाता कहा जाता है, और एक एसएएमएल उपभोक्ता, जिसे एक सेवा प्रदाता कहा जाता है, जिसके बीच एक प्रिंसिपल (सामान्य रूप से एक अंतिम उपयोगकर्ता) के बारे में जानकारी प्रसारित करने के लिए दावे वाले सुरक्षा टोकन का उपयोग करता है। एसएएमएल 2.0 वेब-आधारित, क्रॉस-डोमेन एकल साइन-ऑन (एसएसओ) को सक्षम करता है, जो उपयोगकर्ता को एकाधिक प्रमाणीकरण टोकन वितरित करने के प्रशासनिक ओवरहेड को कम करने में सहायता करता है।

मार्च 2005 में एसएएमएल 1.1 के अतिरिक्त एसएएमएल 2.0 को ओएसिस (संगठन) मानक के रूप में अनुमोदित किया गया था। एसएएमएल 2.0 के महत्वपूर्ण स्वरूपों को आधिकारिक दस्तावेजों एसएएमएलकोर, एसएएमएलबाइंड, एसएएमएलप्रोफ, और एसएएमएलमेटा में विस्तार से सम्मिलित किया गया है।

एसएएमएल 2.0 के निर्माण में 24 से अधिक कंपनियों और संगठनों के लगभग 30 व्यक्ति सम्मिलित थे। विशेष रूप से, लिबर्टी एलायंस ने अपना पहचान महासंघ फ्रेमवर्क (आईडी-एफएफ) विनिर्देश ओएसिस को देता है, जो एसएएमएल 2.0 विनिर्देश का आधार बन गया। इस प्रकार एसएएमएल 2.0 एसएएमएल 1.1, लिबर्टी आईडी-एफएफ 1.2, और शिबोलेथ 1.3 के अभिसरण का प्रतिनिधित्व करता है।

एसएएमएल 2.0 अभिकथन
अभिकथन (असर्शन) सूचना का एक पैकेज है जो एसएएमएल प्राधिकरण द्वारा दिए गए शून्य या अधिक स्टेटमेंट प्रदान करता है। एसएएमएल अभिकथन सामान्य रूप से किसी विषय के बारे में किए जाते हैं, जिसे  तत्व द्वारा दर्शाया जाता है। एसएएमएल 2.0 विनिर्देश तीन अलग-अलग प्रकार के अभिकथन  स्टेटमेंट को परिभाषित करता है जिन्हें एसएएमएल प्राधिकरण द्वारा बनाया जा सकता है। सभी एसएएमएल-परिभाषित स्टेटमेंट एक विषय से जुड़े हुए हैं। परिभाषित तीन प्रकार के अभिकथन स्टेटमेंट इस प्रकार हैं:
 * प्रमाणीकरण स्टेटमेंट: अभिकथन विषय को एक विशेष समय पर एक विशेष माध्यम से प्रमाणित किया गया था।
 * विशेषता स्टेटमेंट: अभिकथन विषय आपूर्ति की गई विशेषताओं से जुड़ा है।
 * प्राधिकरण निर्णय स्टेटमेंट: दावे के विषय को निर्दिष्ट संसाधन तक पहुंचने की अनुमति देने का अनुरोध स्वीकार कर लिया गया है या अस्वीकार कर दिया गया है।

एसएएमएल अभिकथन का एक महत्वपूर्ण प्रकार तथाकथित "वाहक" अभिकथन है जिसका उपयोग वेब ब्राउज़र एसएसओ को सुविधाजनक बनाने के लिए किया जाता है। यहां एक पहचान प्रदाता ( https://idp.example.org/SAML2 ) द्वारा एक सेवा प्रदाता ( https://sp.example.com/SAML2 ) को जारी किए गए अल्पकालिक वाहक दावे का एक उदाहरण दिया गया है। अभिकथन में एक प्रमाणीकरण अभिकथन  और एक विशेषता अभिकथन  दोनों सम्मिलित हैं, जो संभवतः सेवा प्रदाता अभिगम्य नियंत्रण निर्णय लेने के लिए उपयोग करता है। उपसर्ग   एसएएमएल V2.0 अभिकथन नामस्थान का प्रतिनिधित्व करता है।

एसएएमएल का उदाहरण EDIT
ध्यान दें कि उपरोक्त उदाहरण में  तत्व में निम्नलिखित बाल तत्व सम्मिलित हैं:


 * ए  तत्व, जिसमें पहचान प्रदाता का विशिष्ट पहचानकर्ता होता है
 * ए  तत्व, जिसमें एक अखंडता-संरक्षित डिजिटल चिन्ह (दिखाया नहीं गया) होता है   तत्व
 * ए  तत्व, जो प्रमाणित प्रिंसिपल की पहचान करता है (लेकिन इस मामले में प्रिंसिपल की पहचान गोपनीयता के कारणों के लिए एक अपारदर्शी क्षणिक पहचानकर्ता के पीछे छिपी हुई है)
 * ए  तत्व, जो उन शर्तों को देता है जिनके तहत अभिकथन को वैध माना जाना है
 * ए  तत्व, जो पहचान प्रदाता पर प्रमाणीकरण के कार्य का वर्णन करता है
 * ए  तत्व, जो प्रमाणित प्रिंसिपल से जुड़े एक बहु-मूल्यवान विशेषता का दावा करता है

शब्दों में, अभिकथन निम्नलिखित जानकारी को कूटबद्ध करता है:

"अभिकथन ( b07b804c-7c29-ea16-7300-4f3d6f7928ac ) पहचान प्रदाता द्वारा 2004-12-05T09:22:05Z पर जारी किया गया था ( https://idp.example.org/एसएएमएल2 ) विशेष रूप से सेवा प्रदाता ( &lt;nowiki&gt;https://sp.example.com/एसएएमएल2 ) के लिए विषय (3f7b3dcf-1674-4ecd-92c8-1544f346baf8) के संबंध में।"

प्रमाणीकरण स्टेटमेंट, विशेष रूप से, निम्नलिखित पर जोर देता है:

"प्रिंसिपल की पहचान इसमें की गई है सुरक्षित चैनल पर भेजे गए पासवर्ड के माध्यम से तत्व को 2004-12-05T09:22:00Z पर प्रमाणित किया गया था।"

इसी प्रकार विशेषता स्टेटमेंट का दावा है कि:

"प्रिंसिपल की पहचान इसमें की गई है तत्व में इस संस्था के 'कर्मचारी' और 'सदस्य' गुण हैं।"

एसएएमएल 2.0 प्रोटोकॉल
एसएएमएल Core में निम्नलिखित प्रोटोकॉल निर्दिष्ट हैं:


 * अभिकथन क्वेरी और अनुरोध प्रोटोकॉल
 * # प्रमाणीकरण अनुरोध प्रोटोकॉल
 * #अर्टिफैक्ट रेजोल्यूशन प्रोटोकॉल
 * नाम पहचानकर्ता प्रबंधन प्रोटोकॉल
 * एकल लॉगआउट प्रोटोकॉल
 * नाम पहचानकर्ता मैपिंग प्रोटोकॉल

इन प्रोटोकॉलों में सबसे महत्वपूर्ण-प्रमाणीकरण अनुरोध प्रोटोकॉल-नीचे विस्तार से चर्चा की गई है।

प्रमाणीकरण अनुरोध प्रोटोकॉल
एसएएमएल 1.1 में वेब ब्राउजर एसएसओ प्रोफाइल पहचान प्रदाता  | आइडेंटिटी प्रोवाइडर (आईडीपी) द्वारा शुरू किए जाते हैं, यानी एक अवांछित   तत्व पहचान प्रदाता से सेवा प्रदाता (ब्राउज़र के माध्यम से) में प्रेषित होता है। (उपसर्ग   एसएएमएल प्रोटोकॉल नामस्थान को दर्शाता है।)

एसएएमएल 2.0 में, हालांकि, सेवा प्रदाता से प्रवाह शुरू होता है जो पहचान प्रदाता को एक स्पष्ट प्रमाणीकरण अनुरोध जारी करता है। परिणामी प्रमाणीकरण अनुरोध प्रोटोकॉल एसएएमएल 2.0 की एक महत्वपूर्ण नई विशेषता है।

जब एक प्रिंसिपल (या प्रिंसिपल की ओर से काम करने वाली इकाई) एक ऑथेंटिकेशन स्टेटमेंट वाला एक एश्योरमेंट प्राप्त करना चाहता है, तो ए  तत्व पहचान प्रदाता को प्रेषित किया जाता है: उपरोक्त  तत्व, जो स्पष्ट रूप से #एसएएमएल_2.0_एसरशन का अनुरोध करता है, स्पष्ट रूप से एक सेवा प्रदाता ( https://sp.example.com/एसएएमएल2 ) द्वारा जारी किया गया था और बाद में पहचान प्रदाता (ब्राउज़र के माध्यम से) को प्रस्तुत किया गया था। पहचान प्रदाता प्रिंसिपल (यदि आवश्यक हो) को प्रमाणित करता है और एक प्रमाणीकरण प्रतिक्रिया जारी करता है, जो सेवा प्रदाता (फिर से ब्राउज़र के माध्यम से) को वापस प्रेषित की जाती है।

अर्टिफैक्ट साक्ष्य संकल्प प्रोटोकॉल
एक एसएएमएल संदेश एक इकाई से दूसरे में या तो मूल्य या संदर्भ द्वारा प्रेषित होता है। एसएएमएल संदेश के संदर्भ को अर्टिफैक्ट कहा जाता है। एक अर्टिफैक्ट का रिसीवर एक भेजकर संदर्भ को हल करता है  अर्टिफैक्ट के जारीकर्ता से सीधे अनुरोध करें, जो अर्टिफैक्ट द्वारा संदर्भित वास्तविक संदेश के साथ प्रतिक्रिया करता है।

मान लीजिए, उदाहरण के लिए, एक पहचान प्रदाता निम्नलिखित भेजता है अनुरोध सीधे सेवा प्रदाता से (बैक चैनल के माध्यम से): जवाब में, सेवा प्रदाता संलग्न अर्टिफैक्ट द्वारा संदर्भित एसएएमएल तत्व लौटाता है। यह प्रोटोकॉल #हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग का आधार बनाता है।

एसएएमएल 2.0 बाइंडिंग्स
एसएएमएल 2.0 द्वारा समर्थित बाइंडिंग बाइंडिंग विनिर्देश (एसएएमएलBind ):


 * एसएएमएल SOAP बाइंडिंग (SOAP 1.1 पर आधारित)
 * रिवर्स SOAP (PAOS) ​​बाइंडिंग
 * #हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल रीडायरेक्ट बाइंडिंग
 * #हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पोस्ट बाइंडिंग
 * #हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग
 * एसएएमएल URI बाइंडिंग

वेब ब्राउज़र एसएसओ के लिए, एचटीटीपी रीडायरेक्ट बाइंडिंग और एचटीटीपी पोस्ट बाइंडिंग का सामान्य रूप से इस्तेमाल किया जाता है। उदाहरण के लिए, सेवा प्रदाता अनुरोध भेजने के लिए हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल रीडायरेक्ट का उपयोग कर सकता है, जबकि पहचान प्रदाता प्रतिक्रिया प्रसारित करने के लिए हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल POST का उपयोग करता है। इस उदाहरण से पता चलता है कि एक इकाई की बाध्यकारी की पसंद उसके साथी की बाध्यकारी की पसंद से स्वतंत्र है।

हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल रीडायरेक्ट बाइंडिंग
एसएएमएल प्रोटोकॉल संदेशों को सीधे हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल GET अनुरोध के URL क्वेरी स्ट्रिंग में ले जाया जा सकता है। व्यवहार में URL की लंबाई सीमित होने के कारण, हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल रीडायरेक्ट बाइंडिंग छोटे संदेशों के लिए उपयुक्त है, जैसे कि  संदेश। लंबे संदेश (उदाहरण के लिए हस्ताक्षरित या एन्क्रिप्टेड एसएएमएल अभिकथन वाले, जैसे एसएएमएल प्रतिक्रियाएँ) सामान्य रूप से #हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल POST बाइंडिंग जैसे अन्य बाइंडिंग के माध्यम से प्रेषित होते हैं।

एचटीटीपी रीडायरेक्ट के ज़रिए ट्रांसमिट किए गए एसएएमएल अनुरोध या जवाबों में a  या   क्वेरी स्ट्रिंग पैरामीटर, क्रमशः। भेजे जाने से पहले, संदेश उस क्रम में DEFLATE (हेडर और चेकसम के बिना), बेस 64-एन्कोडेड और URL-एन्कोडेड है। प्राप्त होने पर, मूल संदेश को पुनर्प्राप्त करने के लिए प्रक्रिया उलट दी जाती है।

उदाहरण के लिए, एन्कोडिंग  उपज के ऊपर संदेश:

https://idp.example.org/एसएएमएल2/एसएसओ/Redirect?एसएएमएलRequest=fZFfa8IwFMXfBb9DyXvaJtZ1BqsURRC2 Mabbw95ivc5Am3TJrXPffmmLY3%2FA15Pzuyf33On8XJXBCaxTRmeEhTEJQBdmr%2FRbRp63K3pL5rPhYOpkVdY ib%2FCon%2BC9AYfDQRB4WDvRvWWksVoY6ZQTWlbgBBZik9%2FfCR7GorYGTWFK8pu6DknnwKL%2FWEetlxmR8s BHbHJDWZqOKGdsRJM0kfQAjCUJ43KX8s78ctnIz%2Blp5xpYa4dSo1fjOKGM03i8jSeCMzGevHa2%2FBK5MNo1F dgN2JMqPLmHc0b6WTmiVbsGoTf5qv66Zq2t60x0wXZ2RkydiCJXh3CWVV1CWJgqanfl0%2Bin8xutxYOvZL18NK UqPlvZR5el%2BVhYkAgZQdsA6fWVsZXE63W2itrTQ2cVaKV2CjSSqL1v9P%2FAXv4C

अतिरिक्त सुरक्षा के लिए उपरोक्त संदेश (पठनीयता के लिए स्वरूपित) पर चिन्ह किए जा सकते हैं। व्यवहार में, एक में निहित सभी डेटा, जैसे कि   जिसमें एसपी आईडी है, और  , IdP और SP के बीच पहले ही सहमति हो गई है (मैन्युअल सूचना विनिमय के माध्यम से या #एसएएमएल 2.0 मेटाडेटा के माध्यम से)। उस स्थिति में अनुरोध पर चिन्ह करना सुरक्षा बाधा नहीं है। जब   IdP द्वारा पहले से ज्ञात जानकारी नहीं है, जैसे कि अभिकथन उपभोक्ता सेवा URL, सुरक्षा उद्देश्यों के लिए अनुरोध पर चिन्ह करने की अनुशंसा की जाती है।

हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पोस्ट बाइंडिंग
निम्नलिखित उदाहरण में, सेवा प्रदाता और पहचान प्रदाता दोनों हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल POST बाइंडिंग का उपयोग करते हैं। प्रारंभ में, सेवा प्रदाता एक एक्सएचटीएमएल फॉर्म वाले दस्तावेज़ के साथ उपयोगकर्ता एजेंट के अनुरोध का जवाब देता है: <वाक्यविन्यास लैंग = html4सख्त> <फॉर्म विधि = पोस्ट एक्शन = https://idp.example.org/एसएएमएल2/एसएसओ/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = एसएएमएलRequest मान = अनुरोध /> ... अन्य इनपुट पैरामीटर ....   का मूल्य  पैरामीटर a का बेस 64-एन्कोडिंग है   तत्व, जो ब्राउज़र के माध्यम से पहचान प्रदाता को प्रेषित होता है। पहचान प्रदाता पर एसएसओ सेवा अनुरोध को मान्य करती है और एक अन्य एक्सएचटीएमएल फॉर्म वाले दस्तावेज़ के साथ प्रतिक्रिया करती है: <वाक्यविन्यास लैंग = html4सख्त> <फॉर्म विधि = पोस्ट कार्रवाई = https://sp.example.com/एसएएमएल2/एसएसओ/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = एसएएमएलResponse मान = प्रतिक्रिया /> ...   का मूल्य  पैरामीटर a का बेस 64 एन्कोडिंग है   तत्व, जो इसी तरह सेवा प्रदाता को ब्राउज़र के माध्यम से प्रेषित किया जाता है।

प्रपत्र के सबमिशन को स्वचालित करने के लिए, जावास्क्रिप्ट की निम्न पंक्ति XHTML पृष्ठ पर कहीं भी दिखाई दे सकती है: यह निश्चित रूप से मानता है कि पृष्ठ में पहले फॉर्म तत्व में उपरोक्त एसएएमएलResponse सम्मिलित है  तत्व.

हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट साक्ष्य बाइंडिंग
संदर्भ द्वारा एसएएमएल संदेश को हल करने के लिए हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग #Artifact रिज़ॉल्यूशन प्रोटोकॉल और एसएएमएल SOAP बाइंडिंग (हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पर) का उपयोग करता है। निम्नलिखित विशिष्ट उदाहरण पर विचार करें। मान लीजिए कि एक सेवा प्रदाता एक भेजना चाहता है  एक पहचान प्रदाता को संदेश। प्रारंभ में, सेवा प्रदाता हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल रीडायरेक्ट के माध्यम से पहचान प्रदाता को एक अर्टिफैक्ट भेजता है:

https://idp.example.org/एसएएमएल2/एसएसओ/Artifact?एसएएमएलart=artifact

इसके बाद पहचान प्रदाता एक भेजता है  अनुरोध (जैसे कि पहले दिखाया गया #ArtifactResolveRequest) सीधे बैक चैनल के माध्यम से सेवा प्रदाता को। अंत में, सेवा प्रदाता एक देता है   तत्व जिसमें संदर्भित है   संदेश: बेशक प्रवाह दूसरी दिशा में भी जा सकता है, यानी पहचान प्रदाता एक अर्टिफैक्ट जारी कर सकता है, और वास्तव में यह अधिक सामान्य है। उदाहरण के लिए देखें, #SP रीडायरेक्ट अर्टिफैक्ट; इस विषय में बाद में IdP रीडायरेक्ट अर्टिफैक्ट साक्ष्य प्रोफ़ाइल उदाहरण।

अर्टिफैक्ट साक्ष्य प्रारूप
सामान्य तौर पर, एसएएमएल 2.0 अर्टिफैक्ट को इस तरह परिभाषित किया जाता है (एसएएमएलBind ):

एसएएमएल_artifact:= B64 (टाइपकोड एंडपॉइंटइंडेक्स शेष अर्टिफैक्ट) टाइपकोड�:= बाइट1बाइट2 एंडपॉइंट इंडेक्स: = बाइट 1 बाइट 2

इस प्रकार एक एसएएमएल 2.0 अर्टिफैक्ट साक्ष्य में तीन घटक होते हैं: एक दो-बाइट, एक दो-बाइट  , और बाइट्स के मनमाने क्रम को कहा जाता है. जानकारी के इन तीन टुकड़ों को जोड़ा गया है और पूर्ण अर्टिफैक्ट प्राप्त करने के लिए बेस64-एन्कोडेड हैं।  e> विशिष्ट रूप से अर्टिफैक्ट साक्ष्य प्रारूप की पहचान करता है। एसएएमएल 2.0 0x0004 प्रकार के केवल एक ऐसे अर्टिफैक्ट को पूर्वनिर्धारित करता है।   e> अर्टिफैक्ट साक्ष्य जारीकर्ता द्वारा प्रबंधित एक विशेष अर्टिफैक्ट साक्ष्य समापन बिंदु का एक संदर्भ है (जो पहले उल्लेखित IdP या SP हो सकता है)।  डी>, जो कि प्रकार की परिभाषा से निर्धारित होता है, कलाकृतियों का मांस है।

0x0004 अर्टिफैक्ट प्रकार के प्रारूप को आगे निम्नानुसार परिभाषित किया गया है:

टाइपकोड: = 0x0004 RemainingArtifact:= SourceId MessageHandle स्रोत आईडी: = 20-बाइट_अनुक्रम मैसेजहैंडल: = 20-बाइट_अनुक्रम

इस प्रकार एक प्रकार 0x0004 अर्टिफैक्ट आकार 44 बाइट्स (एन्कोडेड) का है।  ई> बाइट्स का एक मनमाना क्रम है, हालांकि व्यवहार में,   जारीकर्ता के entityID का SHA-1 हैश है।   ई> बाइट्स का एक यादृच्छिक अनुक्रम है जो एक एसएएमएल संदेश का संदर्भ देता है कि अर्टिफैक्ट जारीकर्ता ऑन-डिमांड उत्पादन करने को तैयार है।

उदाहरण के लिए, इस हेक्स-एन्कोडेड प्रकार 0x0004 अर्टिफैक्ट साक्ष्य पर विचार करें:

00040000c878f3fd685c833eb03a3b0e1daa329d47338205e436913660e3e917549a59709fd8c91f2120222f

यदि आप बारीकी से देखते हैं, तो आप देख सकते हैं  (0x0004) और   (0x0000) अर्टिफैक्ट साक्ष्य के सामने। अगले 20 बाइट जारीकर्ता के entityID ( https://idp.example.org/एसएएमएल2 ) के SHA-1 हैश के बाद 20 रैंडम बाइट हैं। इन 44 बाइट्स का बेस64-एन्कोडिंग वही है जो आप ऊपर #ArtifactResolveRequest उदाहरण में देखते हैं।

एसएएमएल 2.0 प्रोफाइल
एसएएमएल 2.0 में, एसएएमएल 1.1 की तरह, प्राथमिक उपयोग मामला अभी भी वेब ब्राउज़र एसएसओ है, लेकिन एसएएमएल 2.0 का दायरा एसएएमएल के पिछले संस्करणों की तुलना में व्यापक है, जैसा कि प्रोफ़ाइल की निम्नलिखित विस्तृत सूची में सुझाया गया है:


 * एसएसओ प्रोफाइल
 * #वेब_ब्राउज़र_एसएसओ_प्रोफाइल
 * उन्नत ग्राहक या प्रॉक्सी (ईसीपी) प्रोफ़ाइल
 * #Identity_Provider_Discovery_Profile
 * एकल लॉगआउट प्रोफाइल
 * नाम पहचानकर्ता प्रबंधन प्रोफ़ाइल
 * अर्टिफैक्ट साक्ष्य संकल्प प्रोफ़ाइल
 * #Assertion_Query/Request_Profile|अभिकथन क्वेरी/अनुरोध प्रोफ़ाइल
 * नाम पहचानकर्ता मानचित्रण प्रोफ़ाइल
 * एसएएमएल विशेषता प्रोफाइल
 * मूल विशेषता प्रोफ़ाइल
 * X.500/LDAP विशेषता प्रोफ़ाइल
 * UUID विशेषता प्रोफ़ाइल
 * डीसीई पीएसी विशेषता प्रोफ़ाइल
 * XACML विशेषता प्रोफ़ाइल

हालाँकि समर्थित प्रोफ़ाइलों की संख्या काफी बड़ी है, प्रोफ़ाइल विनिर्देश (एसएएमएलProf सरलीकृत है क्योंकि प्रत्येक प्रोफ़ाइल के बाध्यकारी स्वरूपों को एक अलग बाइंडिंग विनिर्देश (एसएएमएलBind ).

वेब ब्राउजर एसएसओ प्रोफाइल
एसएएमएल 2.0 एक वेब ब्राउज़र एसएसओ प्रोफ़ाइल निर्दिष्ट करता है जिसमें एक पहचान प्रदाता (IdP), एक सेवा प्रदाता (SP) और एक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल उपयोगकर्ता एजेंट चलाने वाला प्रमुख सम्मिलित होता है। सेवा प्रदाता के पास चुनने के लिए चार बाइंडिंग हैं, जबकि पहचान प्रदाता के पास तीन हैं, जो बारह संभावित परिनियोजन परिदृश्यों की ओर ले जाता है। हम नीचे उन तीन परिनियोजन परिदृश्यों की रूपरेखा प्रस्तुत करते हैं।

एसपी पुनर्निर्देशन अनुरोध; आईडीपी पोस्ट प्रतिक्रिया
यह सबसे आम परिदृश्यों में से एक है। सेवा प्रदाता हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल-रीडायरेक्ट बाइंडिंग का उपयोग करके IdP एसएसओ सेवा को एक एसएएमएल अनुरोध भेजता है। पहचान प्रदाता हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल-POST बाइंडिंग का उपयोग करके SP अभिकथन उपभोक्ता सेवा को एसएएमएल प्रतिक्रिया लौटाता है।

संदेश प्रवाह सेवा प्रदाता पर एक सुरक्षित संसाधन के अनुरोध के साथ शुरू होता है।

1. एसपी से लक्ष्य संसाधन का अनुरोध करें

प्रिंसिपल (एक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल उपयोगकर्ता एजेंट के माध्यम से) सेवा प्रदाता पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

सेवा प्रदाता लक्ष्य संसाधन की ओर से सुरक्षा जांच करता है। यदि सेवा प्रदाता के पास एक मान्य सुरक्षा संदर्भ पहले से मौजूद है, तो चरण 2-7 को छोड़ दें।

सेवा प्रदाता उपयोग किए जाने वाले पहचान प्रदाता की खोज के लिए किसी भी प्रकार के तंत्र का उपयोग कर सकता है, उदाहरण के लिए, उपयोगकर्ता से पूछें, पूर्व-कॉन्फ़िगर IdP का उपयोग करें, आदि।

2. आईडीपी एसएसओ सेवा पर रीडायरेक्ट करें

सेवा प्रदाता एक उपयुक्त एसएएमएलRequest (और RelayState, यदि कोई हो) उत्पन्न करता है, फिर एक मानक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल 302 रीडायरेक्ट का उपयोग करके ब्राउज़र को IdP एसएसओ सेवा पर रीडायरेक्ट करता है।

ई> टोकन सेवा प्रदाता पर रखी गई राज्य सूचना का एक अपारदर्शी संदर्भ है। का मूल्य  पैरामीटर एक डिफ्लेटेड, बेस 64-एन्कोडेड और यूआरएल-एन्कोडेड मान है   तत्व:

SP चिन्ह कुंजी का उपयोग करके एसएएमएलRequest पर चिन्ह किए जा सकते हैं। सामान्य रूप से, हालांकि, यह आवश्यक नहीं है।

3. IdP पर एसएसओ सेवा के लिए अनुरोध करें

उपयोगकर्ता एजेंट पहचान प्रदाता पर एसएसओ सेवा के लिए एक जीईटी अनुरोध जारी करता है:

<सिंटैक्सहाइलाइट लैंग = http हाइलाइट = 6> GET /एसएएमएल2/एसएसओ/रीडायरेक्ट?एसएएमएलRequest=request&RelayState=token हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल/1.1 होस्ट: idp.example.org 

जहां के मूल्य  और   पैरामीटर वही हैं जो रीडायरेक्ट में दिए गए हैं. पहचान प्रदाता पर एसएसओ सेवा प्रक्रिया करती है  तत्व (यूआरएल-डिकोडिंग, बेस 64-डिकोडिंग और उस क्रम में अनुरोध को बढ़ाकर) और सुरक्षा जांच करता है। यदि उपयोगकर्ता के पास वैध सुरक्षा संदर्भ नहीं है, तो पहचान प्रदाता उपयोगकर्ता को किसी भी तंत्र (विवरण छोड़े गए) के साथ पहचानता है।

4. एक्सएचटीएमएल फॉर्म के साथ प्रतिक्रिया दें

एसएसओ सेवा अनुरोध को मान्य करती है और एक्सएचटीएमएल फॉर्म वाले दस्तावेज़ के साथ प्रतिक्रिया करती है:

<वाक्यविन्यास हाइलाइट लैंग = एचटीएमएल हाइलाइट = 2-3> <फॉर्म विधि = पोस्ट कार्रवाई = https://sp.example.com/एसएएमएल2/एसएसओ/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = एसएएमएलResponse मान = प्रतिक्रिया /> <इनपुट प्रकार = छिपा हुआ नाम = रिलेस्टेट मूल्य = टोकन /> ...   <इनपुट प्रकार = मूल्य जमा करें = जमा करें />  

का मूल्य  पैरामीटर को चरण 3 से संरक्षित किया गया है। का मान   पैरामीटर निम्न का बेस 64 एन्कोडिंग है   तत्व:

5. एसपी में दावा उपभोक्ता सेवा का अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता पर अभिकथन उपभोक्ता सेवा के लिए एक POST अनुरोध जारी करता है:

<सिंटैक्सहाइलाइट लैंग = http हाइलाइट = 6> पोस्ट/एसएएमएल2/एसएसओ/पोस्ट एचटीटीपी/1.1 होस्ट: sp.example.com वस्तु-प्रकार: एप्लिकेशन/x-www-form-urlencoded वस्तु-लंबाई: एनएनएन एसएएमएलResponse=प्रतिक्रिया&RelayState=token 

जहां के मूल्य  और   पैरामीटर चरण 4 पर XHTML फ़ॉर्म से लिए गए हैं।

6. लक्ष्य संसाधन पर पुनर्निर्देशित करें

अभिकथन उपभोक्ता सेवा प्रतिक्रिया को संसाधित करती है, सेवा प्रदाता पर एक सुरक्षा संदर्भ बनाती है और उपयोगकर्ता एजेंट को लक्ष्य संसाधन पर पुनर्निर्देशित करती है।

7. लक्ष्य संसाधन के लिए एसपी से फिर से अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता (फिर से) पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

8. अनुरोधित संसाधन के साथ प्रतिक्रिया दें

चूंकि एक सुरक्षा संदर्भ मौजूद है, सेवा प्रदाता संसाधन को उपयोगकर्ता एजेंट को लौटाता है।

सपा पोस्ट अनुरोध; आईडीपी पोस्ट प्रतिक्रिया
यह एसएएमएल 2.0 वेब ब्राउज़र एसएसओ प्रोफ़ाइल (एसएएमएलProf जहाँ सेवा प्रदाता (SP) और पहचान प्रदाता (IdP) दोनों हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल POST बाइंडिंग का उपयोग करते हैं।

संदेश प्रवाह एसपी में एक सुरक्षित संसाधन के अनुरोध के साथ शुरू होता है।

1. एसपी से लक्ष्य संसाधन का अनुरोध करें

प्रिंसिपल (एक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल उपयोगकर्ता एजेंट के माध्यम से) सेवा प्रदाता पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

सेवा प्रदाता लक्ष्य संसाधन की ओर से सुरक्षा जांच करता है। यदि सेवा प्रदाता के पास एक मान्य सुरक्षा संदर्भ पहले से मौजूद है, तो चरण 2-7 को छोड़ दें।

2. एक्सएचटीएमएल फॉर्म के साथ प्रतिक्रिया दें

सेवा प्रदाता XHTML फॉर्म वाले दस्तावेज़ के साथ प्रतिक्रिया करता है: <वाक्यविन्यास हाइलाइट लैंग = एचटीएमएल हाइलाइट = 2-3> <फॉर्म विधि = पोस्ट एक्शन = https://idp.example.org/एसएएमएल2/एसएसओ/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = एसएएमएलRequest मान = अनुरोध /> <इनपुट प्रकार = छिपा हुआ नाम = रिलेस्टेट मूल्य = टोकन /> ...   <इनपुट प्रकार = मूल्य जमा करें = जमा करें />    ई> टोकन सेवा प्रदाता पर रखी गई राज्य सूचना का एक अपारदर्शी संदर्भ है। का मूल्य   पैरामीटर निम्न का बेस 64 एन्कोडिंग है   तत्व: से पहले  तत्व एक्सएचटीएमएल फॉर्म में डाला गया है, यह पहले बेस 64-एन्कोडेड है।

3. IdP पर एसएसओ सेवा के लिए अनुरोध करें

उपयोगकर्ता एजेंट पहचान प्रदाता पर एसएसओ सेवा के लिए एक पोस्ट अनुरोध जारी करता है: <सिंटैक्सहाइलाइट लैंग = http हाइलाइट = 6> पोस्ट/एसएएमएल2/एसएसओ/पोस्ट एचटीटीपी/1.1 होस्ट: idp.example.org वस्तु-प्रकार: एप्लिकेशन/x-www-form-urlencoded वस्तु-लंबाई: एनएनएन

एसएएमएलRequest=request&RelayState=token  जहां के मूल्य  और   पैरामीटर चरण 2 पर XHTML प्रपत्र से लिए गए हैं। एसएसओ सेवा प्रक्रिया करती है   तत्व (यूआरएल-डिकोडिंग, बेस 64-डिकोडिंग और उस क्रम में अनुरोध को बढ़ाकर) और सुरक्षा जांच करता है। यदि उपयोगकर्ता के पास वैध सुरक्षा संदर्भ नहीं है, तो पहचान प्रदाता उपयोगकर्ता की पहचान करता है (विवरण छोड़ा गया)।

4. एक्सएचटीएमएल फॉर्म के साथ प्रतिक्रिया दें

एसएसओ सेवा अनुरोध को मान्य करती है और एक्सएचटीएमएल फॉर्म वाले दस्तावेज़ के साथ प्रतिक्रिया करती है: <वाक्यविन्यास हाइलाइट लैंग = एचटीएमएल हाइलाइट = 2-3> <फॉर्म विधि = पोस्ट कार्रवाई = https://sp.example.com/एसएएमएल2/एसएसओ/POST ...> <इनपुट प्रकार = छिपा हुआ नाम = एसएएमएलResponse मान = प्रतिक्रिया /> <इनपुट प्रकार = छिपा हुआ नाम = रिलेस्टेट मूल्य = टोकन /> ...   <इनपुट प्रकार = मूल्य जमा करें = जमा करें />   का मूल्य  पैरामीटर को चरण 3 से संरक्षित किया गया है। का मान   पैरामीटर निम्न का बेस 64 एन्कोडिंग है   तत्व: 5. एसपी में दावा उपभोक्ता सेवा का अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता पर दावा उपभोक्ता सेवा के लिए एक POST अनुरोध जारी करता है: <सिंटैक्सहाइलाइट लैंग = http हाइलाइट = 6> पोस्ट/एसएएमएल2/एसएसओ/पोस्ट एचटीटीपी/1.1 होस्ट: sp.example.com वस्तु-प्रकार: एप्लिकेशन/x-www-form-urlencoded वस्तु-लंबाई: एनएनएन एसएएमएलResponse=प्रतिक्रिया&RelayState=token  जहां के मूल्य  और   पैरामीटर चरण 4 पर XHTML फ़ॉर्म से लिए गए हैं।

6. लक्ष्य संसाधन पर पुनर्निर्देशित करें

अभिकथन उपभोक्ता सेवा प्रतिक्रिया को संसाधित करती है, सेवा प्रदाता पर एक सुरक्षा संदर्भ बनाती है और उपयोगकर्ता एजेंट को लक्ष्य संसाधन पर पुनर्निर्देशित करती है।

7. लक्ष्य संसाधन के लिए एसपी से फिर से अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता (फिर से) पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

8. अनुरोधित संसाधन के साथ प्रतिक्रिया दें

चूंकि एक सुरक्षा संदर्भ मौजूद है, सेवा प्रदाता संसाधन को उपयोगकर्ता एजेंट को लौटाता है।

एसपी रीडायरेक्ट अर्टिफैक्ट; IdP अनुप्रेषित अर्टिफैक्ट साक्ष्य
यह एसएएमएल 2.0 वेब ब्राउज़र एसएसओ प्रोफ़ाइल (एसएएमएलProf जहां सेवा प्रदाता (SP) और पहचान प्रदाता (IdP) दोनों हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग का उपयोग करते हैं। दोनों कलाकृतियों को हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल GET के माध्यम से उनके संबंधित समापन बिंदुओं तक पहुँचाया जाता है।

एसपी में एक सुरक्षित संसाधन के अनुरोध के साथ संदेश प्रवाह शुरू होता है:

1. एसपी से लक्ष्य संसाधन का अनुरोध करें

प्रिंसिपल (एक हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल उपयोगकर्ता एजेंट के माध्यम से) सेवा प्रदाता पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

सेवा प्रदाता लक्ष्य संसाधन की ओर से सुरक्षा जांच करता है। यदि सेवा प्रदाता के पास एक मान्य सुरक्षा संदर्भ पहले से मौजूद है, तो चरण 2-11 को छोड़ दें।

2. IdP पर एकल साइन-ऑन (एसएसओ) सेवा पर रीडायरेक्ट करें

सेवा प्रदाता पहचान प्रदाता पर उपयोगकर्ता एजेंट को एकल साइन-ऑन (एसएसओ) सेवा पर पुनर्निर्देशित करता है। ए  पैरामीटर और ए   रीडायरेक्ट URL में पैरामीटर जोड़े जाते हैं।

3. IdP पर एसएसओ सेवा के लिए अनुरोध करें

उपयोगकर्ता एजेंट पहचान प्रदाता पर एसएसओ सेवा का अनुरोध करता है:

https://idp.example.org/एसएएमएल2/एसएसओ/Artifact?एसएएमएलart= artifact_1&RelayState=token

कहाँ  सेवा प्रदाता और पर रखी गई राज्य की जानकारी का एक अपारदर्शी संदर्भ है   एक एसएएमएल अर्टिफैक्ट साक्ष्य है, दोनों चरण 2 पर जारी किए गए हैं।

4. एसपी में अर्टिफैक्ट साक्ष्य समाधान सेवा का अनुरोध करें

एसएसओ सेवा एक भेजकर अर्टिफैक्ट को संदर्भित करती है  सेवा प्रदाता पर अर्टिफैक्ट साक्ष्य समाधान सेवा के लिए एसएएमएल SOAP संदेश के लिए बाध्य तत्व: जहां का मूल्य  तत्व चरण 3 में प्रेषित एसएएमएल अर्टिफैक्ट साक्ष्य है।

5. एसएएमएल प्रमाणीकरण अनुरोध के साथ प्रतिक्रिया दें

सर्विस प्रोवाइडर की अर्टिफैक्ट रेजोल्यूशन सर्विस रिटर्न करती है  तत्व (एक युक्त   तत्व) पहचान प्रदाता पर एसएसओ सेवा के लिए एक एसएएमएल SOAP संदेश के लिए बाध्य: एसएसओ सेवा प्रक्रिया करती है  तत्व और एक सुरक्षा जांच करता है। यदि उपयोगकर्ता के पास वैध सुरक्षा संदर्भ नहीं है, तो पहचान प्रदाता उपयोगकर्ता की पहचान करता है (विवरण छोड़ा गया)।

6. अभिकथन उपभोक्ता सेवा पर पुनर्निर्देशित करें

पहचान प्रदाता पर एसएसओ सेवा उपयोगकर्ता एजेंट को सेवा प्रदाता पर अभिकथन उपभोक्ता सेवा पर पुनर्निर्देशित करती है। पूर्व  पैरामीटर और एक नया   रीडायरेक्ट URL में पैरामीटर जोड़े जाते हैं।

7. एसपी में अभिकथन उपभोक्ता सेवा का अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता पर दावा उपभोक्ता सेवा का अनुरोध करता है:

https://sp.example.com/एसएएमएल2/एसएसओ/Artifact?एसएएमएलart= artifact_2&RelayState=token

कहाँ  चरण 3 से टोकन मान है और   चरण 6 में जारी किया गया एसएएमएल अर्टिफैक्ट साक्ष्य है।

8. IdP पर अर्टिफैक्ट साक्ष्य समाधान सेवा का अनुरोध करें

अभिकथन उपभोक्ता सेवा अर्टिफैक्ट को एक भेजकर डिरेफेरेंस करती है  पहचान प्रदाता पर अर्टिफैक्ट साक्ष्य समाधान सेवा के लिए एसएएमएल SOAP संदेश के लिए बाध्य तत्व: जहां का मूल्य  तत्व चरण 7 पर प्रेषित एसएएमएल अर्टिफैक्ट साक्ष्य है।

9. एसएएमएल अभिकथन के साथ प्रतिक्रिया दें

आइडेंटिटी प्रोवाइडर पर अर्टिफैक्ट रेजोल्यूशन सर्विस रिटर्न करती है  तत्व (एक युक्त   तत्व) सेवा प्रदाता पर दावा उपभोक्ता सेवा के लिए एक एसएएमएल SOAP संदेश के लिए बाध्य है: 10. लक्ष्य संसाधन पर पुनर्निर्देशित करें

अभिकथन उपभोक्ता सेवा प्रतिक्रिया को संसाधित करती है, सेवा प्रदाता पर एक सुरक्षा संदर्भ बनाती है और उपयोगकर्ता एजेंट को लक्ष्य संसाधन पर पुनर्निर्देशित करती है।

11. लक्ष्य संसाधन के लिए एसपी से फिर से अनुरोध करें

उपयोगकर्ता एजेंट सेवा प्रदाता (फिर से) पर लक्ष्य संसाधन का अनुरोध करता है:

https://sp.example.com/myresource

12. अनुरोधित संसाधन के साथ प्रतिक्रिया दें

चूंकि एक सुरक्षा संदर्भ मौजूद है, सेवा प्रदाता संसाधन को उपयोगकर्ता एजेंट को लौटाता है।

पहचान प्रदाता डिस्कवरी प्रोफ़ाइल
एसएएमएल 2.0 आइडेंटिटी प्रोवाइडर डिस्कवरी प्रोफ़ाइल में नीचे दी गई अवधारणाएं सम्मिलित हैं:


 * 'आम डोमेन'
 * 'कॉमन डोमेन कुकी'
 * 'सामान्य डोमेन कुकी लेखन सेवा'
 * 'कॉमन डोमेन कुकी रीडिंग सर्विस'

सामान्य डोमेन के एक काल्पनिक उदाहरण के रूप में, मान लें कि उदाहरण यूके (example.co.uk) और उदाहरण Deutschland (example.de) आभासी संगठन उदाहरण ग्लोबल एलायंस (example.com) से संबंधित हैं। इस उदाहरण में, 'example.com' डोमेन सामान्य डोमेन है। उदाहरण यूके और उदाहरण Deutschland दोनों की इस डोमेन में मौजूदगी है (uk.example.com और de.example.com, सम्मान)।

सामान्य डोमेन कुकी एक सुरक्षित ब्राउज़र कुकी है जिसका दायरा सामान्य डोमेन तक सीमित है। प्रत्येक ब्राउज़र उपयोगकर्ता के लिए, यह कुकी हाल ही में विज़िट किए गए IdPs की एक इतिहास सूची संग्रहीत करती है। कुकी का नाम और मान IdP डिस्कवरी प्रोफ़ाइल (एसएएमएलProf ).

प्रमाणीकरण के एक सफल कार्य के बाद, आईडीपी सामान्य डोमेन कुकी लेखन सेवा का अनुरोध करता है। यह सेवा IdP के विशिष्ट पहचानकर्ता को सामान्य डोमेन कुकी में जोड़ती है। एसपी, जब इसे एक संरक्षित संसाधन के लिए एक अप्रमाणित अनुरोध प्राप्त होता है, तो सामान्य डोमेन कुकी रीडिंग सर्विस से अनुरोध करता है कि वह ब्राउजर उपयोगकर्ता के सबसे हाल ही में उपयोग किए गए आईडीपी की खोज करे।

अभिकथन क्वेरी/अनुरोध प्रोफ़ाइल
अभिकथन क्वेरी/अनुरोध प्रोफ़ाइल एक सामान्य प्रोफ़ाइल है जो निम्नलिखित एसएएमएल 2.0 तत्वों का उपयोग करके कई प्रकार के तथाकथित प्रश्नों को समायोजित करती है:


 * द  एलिमेंट, जिसका उपयोग उसके विशिष्ट पहचानकर्ता
 * द  तत्व, जो एक सार विस्तार बिंदु है जो नए विषय-आधारित एसएएमएल प्रश्नों को परिभाषित करने की अनुमति देता है
 * द  तत्व, जिसका उपयोग प्रमाणीकरण प्राधिकरण से किसी दिए गए विषय के बारे में मौजूदा प्रमाणीकरण दावे का अनुरोध करने के लिए किया जाता है
 * द  तत्व, जिसका उपयोग किसी विशेषता प्राधिकरण से किसी दिए गए विषय के बारे में विशेषताओं का अनुरोध करने के लिए किया जाता है
 * द  तत्व, जिसका उपयोग किसी विश्वसनीय तृतीय पक्ष से प्राधिकरण निर्णय का अनुरोध करने के लिए किया जाता है

एसएएमएल SOAP बाइंडिंग का उपयोग अक्सर प्रश्नों के संयोजन में किया जाता है।

एसएएमएल विशेषता क्वेरी
विशेषता क्वेरी शायद एसएएमएल क्वेरी का सबसे महत्वपूर्ण प्रकार है। अक्सर एक अनुरोधकर्ता, प्रिंसिपल की ओर से कार्य करता है, विशेषताओं के लिए एक पहचान प्रदाता से पूछताछ करता है। नीचे हम एक प्रिंसिपल द्वारा सीधे जारी किए गए प्रश्न का उदाहरण देते हैं: ध्यान दें कि  है   इस मामले में। इसे कभी-कभी एट्रिब्यूट सेल्फ़-क्वेरी कहा जाता है. एक पहचान प्रदाता निम्नलिखित अभिकथन को वापस कर सकता है, एक में लिपटा हुआ  तत्व (नहीं दिखाया गया): पहले दिखाए गए #BearerAssertion के विपरीत, इस अभिकथन का जीवनकाल X.509 प्रमाणपत्र के जीवनकाल के अनुरूप होता है जिसका उपयोग प्रिंसिपल पहचान प्रदाता को प्रमाणित करने के लिए करता है। इसके अलावा, चूंकि अभिकथन पर चिन्ह किए गए हैं, इसलिए उपयोगकर्ता इस अभिकथन को एक निर्भर पक्ष को धकेल सकता है, और जब तक उपयोगकर्ता संबंधित निजी कुंजी (इसलिए नाम धारक-की-कुंजी) का अधिकार साबित कर सकता है, निर्भर पक्ष को आश्वस्त किया जा सकता है कि दावा प्रामाणिक है।

एसएएमएल 2.0 मेटाडेटा
वस्तुतः, मेटाडेटा वह है जो एसएएमएल को काम करता है (या अच्छी तरह से काम करता है)। मेटाडेटा के कुछ महत्वपूर्ण उपयोगों में सम्मिलित हैं:


 * एक सेवा प्रदाता एक संचारित करने के लिए तैयार करता है  ब्राउज़र के माध्यम से एक पहचान प्रदाता के लिए तत्व। सेवा प्रदाता कैसे जानता है कि पहचान प्रदाता प्रामाणिक है न कि कोई दुष्ट पहचान प्रदाता उपयोगकर्ता के पासवर्ड को फ़िशिंग करने का प्रयास कर रहा है? प्रमाणीकरण अनुरोध जारी करने से पहले सेवा प्रदाता अपने विश्वसनीय पहचान प्रदाताओं की सूची मेटाडेटा में से परामर्श करता है।
 * पिछले परिदृश्य में, सेवा प्रदाता कैसे जानता है कि प्रमाणीकरण अनुरोध के साथ उपयोगकर्ता को कहाँ भेजा जाए? सेवा प्रदाता मेटाडेटा में विश्वसनीय पहचान प्रदाता के पूर्व-व्यवस्थित एंडपॉइंट स्थान की तलाश करता है।
 * एक पहचान प्रदाता एक प्राप्त करता है  ब्राउज़र के माध्यम से एक सेवा प्रदाता से तत्व। पहचान प्रदाता कैसे जानता है कि सेवा प्रदाता प्रामाणिक है और उपयोगकर्ता के बारे में व्यक्तिगत रूप से पहचाने जाने योग्य जानकारी की कटाई करने की कोशिश कर रहे कुछ बुरे सेवा प्रदाता नहीं हैं? प्रमाणीकरण प्रतिक्रिया जारी करने से पहले पहचान प्रदाता मेटाडेटा में अपने विश्वसनीय सेवा प्रदाताओं की सूची से परामर्श करता है।
 * पिछले परिदृश्य में, पहचान प्रदाता एसएएमएल अभिकथन को कैसे एन्क्रिप्ट करता है ताकि विश्वसनीय सेवा प्रदाता (और केवल विश्वसनीय सेवा प्रदाता) अभिकथन को डिक्रिप्ट कर सके। पहचान प्रदाता अभिकथन को एन्क्रिप्ट करने के लिए मेटाडेटा में सेवा प्रदाता के एन्क्रिप्शन प्रमाणपत्र का उपयोग करता है।
 * पिछले परिदृश्य को जारी रखते हुए, पहचान प्रदाता कैसे जानता है कि उपयोगकर्ता को प्रमाणीकरण प्रतिक्रिया के साथ कहां भेजा जाए? पहचान प्रदाता मेटाडेटा में विश्वसनीय सेवा प्रदाता के पूर्व-व्यवस्थित एंडपॉइंट स्थान की तलाश करता है।
 * सेवा प्रदाता कैसे जानता है कि प्रमाणीकरण प्रतिक्रिया एक विश्वसनीय पहचान प्रदाता से आई है? सेवा प्रदाता मेटाडेटा से पहचान प्रदाता की सार्वजनिक कुंजी का उपयोग करके अभिकथन पर चिन्ह की पुष्टि करता है।
 * सेवा प्रदाता को यह कैसे पता चलता है कि विश्वसनीय पहचान प्रदाता से प्राप्त अर्टिफैक्ट का समाधान कहां करना है? सेवा प्रदाता मेटाडेटा से पहचान प्रदाता की अर्टिफैक्ट साक्ष्य समाधान सेवा के पूर्व-व्यवस्थित एंडपॉइंट स्थान को देखता है।

मेटाडेटा पहचान प्रदाता और सेवा प्रदाता के बीच एक सुरक्षित लेनदेन सुनिश्चित करता है। मेटाडेटा से पहले, ट्रस्ट की जानकारी को मालिकाना तरीके से कार्यान्वयन में एन्कोड किया गया था। अब ट्रस्ट की जानकारी साझा करने की सुविधा मानक मेटाडेटा द्वारा दी जाती है। एसएएमएल 2.0 एक अच्छी तरह से परिभाषित, इंटरऑपरेबल मेटाडेटा प्रारूप प्रदान करता है, जिसका उपयोग संस्थाएं विश्वास प्रक्रिया को बूटस्ट्रैप करने के लिए कर सकती हैं।

पहचान प्रदाता मेटाडेटा
एक पहचान प्रदाता एक में अपने बारे में डेटा प्रकाशित करता है  तत्व:

इस एंटिटी डिस्क्रिप्टर के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * ई> विशेषता इकाई का विशिष्ट पहचानकर्ता है।
 * e> विशेषता मेटाडेटा की अवसान तिथि देती है।
 * ई> तत्व (जिसे सादगी के लिए छोड़ दिया गया है) में एक डिजिटल चिन्ह होता है जो मेटाडेटा की प्रामाणिकता और अखंडता सुनिश्चित करता है।
 * संगठन में पहचाना गया  तत्व इकाई विवरणक द्वारा वर्णित इकाई के लिए जिम्मेदार है (एसएएमएलMeta का खंड 2.3.2 ).
 * में संपर्क जानकारी  तत्व इकाई के लिए जिम्मेदार एक तकनीकी संपर्क की पहचान करता है। एकाधिक संपर्क और संपर्क प्रकार संभव हैं। एसएएमएलMeta का अनुभाग 2.3.2.2 देखें।

परिभाषा के अनुसार, एक पहचान प्रदाता एक एसएसओ सेवा का प्रबंधन करता है जो एसएएमएलProf में निर्दिष्ट एसएएमएल वेब ब्राउज़र एसएसओ प्रोफ़ाइल का समर्थन करती है। उदाहरण के लिए, में वर्णित पहचान प्रदाता देखें  तत्व अगले भाग में दिखाया गया है।

एसएसओ सेवा मेटाडेटा
पहचान प्रदाता पर एसएसओ सेवा का वर्णन एक में किया गया है  तत्व: पिछला मेटाडेटा तत्व पहचान प्रदाता पर एसएसओ सेवा का वर्णन करता है। इस तत्व के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * पहचान प्रदाता सॉफ़्टवेयर को एक निजी एसएएमएल चिन्ह कुंजी और/या एक निजी बैक-चैनल टीएलएस कुंजी के साथ कॉन्फ़िगर किया गया है। संबंधित सार्वजनिक कुंजी इसमें सम्मिलित है  IdP मेटाडेटा में तत्व। संक्षिप्तता के लिए मुख्य विवरणक से मुख्य वस्तु को हटा दिया गया है।
 * ई> की विशेषता  तत्व इंगित करता है कि एसएएमएल SOAP बाइंडिंग (एसएएमएलBind अर्टिफैक्ट साक्ष्य संकल्प के लिए इस्तेमाल किया जाना चाहिए।
 * ई> की विशेषता  #SP रीडायरेक्ट आर्टिफ़ैक्ट के चरण 8 में तत्व का उपयोग किया गया है; IdP रीडायरेक्ट अर्टिफैक्ट साक्ष्य प्रोफ़ाइल।
 * का मूल्य  की विशेषता   तत्व के रूप में प्रयोग किया जाता है   एसएएमएल प्रकार 0x0004 अर्टिफैक्ट साक्ष्य के निर्माण में।
 * ई> तत्व इंगित करते हैं कि एसएएमएल नाम पहचानकर्ता प्रारूप (एसएएमएल Core एसएसओ सेवा समर्थन करती है।
 * ई> के गुण  तत्व एसएएमएल 2.0 बाइंडिंग विनिर्देश (एसएएमएलBind ).
 * ई> की विशेषता  तत्व जो हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल POST बाइंडिंग का समर्थन करता है,  POST अनुरोध के चरण 2 में उपयोग किया जाता है; आईडीपी पोस्ट प्रतिक्रिया प्रोफ़ाइल।
 * ई> की विशेषता  तत्व जो हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग का समर्थन करता है #SP रीडायरेक्ट अर्टिफैक्ट के चरण 2 में उपयोग किया जाता है; IdP रीडायरेक्ट अर्टिफैक्ट साक्ष्य प्रोफ़ाइल।
 * ई> तत्व एक विशेषता का वर्णन करता है कि पहचान प्रदाता दावा करने के लिए तैयार है (नीति के अधीन)।  ई> तत्व संभावित मूल्यों की गणना करते हैं जो विशेषता ले सकती है।

जैसा कि इस खंड के प्रारंभ में उल्लेख किया गया है, के मान  विशेषताएँ एसएएमएल संदेशों को रूट करने के लिए एक सेवा प्रदाता द्वारा उपयोग की जाती हैं, जो एक दुष्ट पहचान प्रदाता द्वारा एक मैन-इन-द-मिडल हमले की संभावना को कम करता है।

सेवा प्रदाता मेटाडेटा
पहचान प्रदाता की तरह, एक सेवा प्रदाता अपने बारे में डेटा को एक में प्रकाशित करता है  तत्व:

इस एंटिटी डिस्क्रिप्टर के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * ई> विशेषता इकाई का विशिष्ट पहचानकर्ता है।
 * e> विशेषता मेटाडेटा की अवसान तिथि देती है।
 * ई> तत्व (जिसे सादगी के लिए छोड़ दिया गया है) में एक डिजिटल चिन्ह होता है जो मेटाडेटा की प्रामाणिकता और अखंडता सुनिश्चित करता है।
 * संगठन में पहचाना गया  तत्व इकाई विवरणक द्वारा वर्णित इकाई के लिए जिम्मेदार है (एसएएमएलMeta का खंड 2.3.2 ).
 * में संपर्क जानकारी  तत्व इकाई के लिए जिम्मेदार एक तकनीकी संपर्क की पहचान करता है। एकाधिक संपर्क और संपर्क प्रकार संभव हैं। एसएएमएलMeta का अनुभाग 2.3.2.2 देखें।

परिभाषा के अनुसार, एक सेवा प्रदाता एक अभिकथन उपभोक्ता सेवा का प्रबंधन करता है जो एसएएमएलProf में निर्दिष्ट एसएएमएल वेब ब्राउज़र एसएसओ प्रोफ़ाइल का समर्थन करती है। उदाहरण के लिए, में वर्णित सेवा प्रदाता देखें  तत्व अगले भाग में दिखाया गया है।

अभिकथन उपभोक्ता सेवा मेटाडेटा
अभिकथन उपभोक्ता सेवा मे  तत्व में समाहित है:

मेटाडेटा तत्व के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * सेवा प्रदाता सॉफ़्टवेयर को एक निजी एसएएमएल चिन्ह कुंजी और/या एक निजी बैक-चैनल टीएलएस कुंजी के साथ कॉन्फ़िगर किया गया है। संबंधित सार्वजनिक कुंजी एसपी मेटाडेटा में  तत्व में सम्मिलित है। संक्षिप्तता के लिए मुख्य वस्तु को मुख्य विवरणक से हटा दिया गया है।
 * इसी तरह सेवा प्रदाता सॉफ्टवेयर को एक निजी एसएएमएल डिक्रिप्शन कुंजी के साथ कॉन्फ़िगर किया गया है। एक सार्वजनिक एसएएमएल एन्क्रिप्शन कुंजी   एसपी मेटाडेटा में तत्व में सम्मिलित है। संक्षिप्तता के लिए मुख्य विवरणक से मुख्य वस्तु को हटा दिया गया है।
 * तत्व की    विशेषता का उपयोग    तत्व में   विशेषता के मान के रूप में किया जाता है।
 * तत्वों की   विशेषताएँ एसएएमएल 2.0 बाइंडिंग विनिर्देश (एसएएमएलबीआईएनडी) में निर्दिष्ट मानक यूआरआई हैं।
 * तत्व की    की विशेषता  जो हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल पोस्ट बाइंडिंग    का समर्थन करती है, जिसका उपयोग "द्विक पीओएसटी" प्रोफ़ाइल के चरण 4 में किया जाता है।
 * तत्व की    की विशेषता जो हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल अर्टिफैक्ट बाइंडिंग   का समर्थन करती है, जिसका उपयोग "द्विक आर्टिफैक्ट" प्रोफ़ाइल के चरण 6 में किया जाता है।
 * तत्व का उपयोग पहचान प्रदाता द्वारा एक  तत्व तैयार करने के लिए किया जाता है जिसे वेब ब्राउज़र एसएसओ के साथ सेवा प्रदाता को भेजा जाता है।
 * तत्व की    विशेषता का उपयोग    तत्व में   विशेषता के मान के रूप में किया जाता है।

जैसा कि इस खंड के प्रारंभ में उल्लेख किया गया है,   विशेषताओ के मानो का एक पहचान प्रदाता द्वारा एसएएमएल संदेशों को रूट करने के लिए उपयोग की जाती हैं, जो एक दुष्ट सेवा प्रदाता द्वारा एक बीच मे आक्षेप की संभावना को कम करता है।

मेटाडेटा एग्रीगेट
पिछले उदाहरणों में, प्रत्येक  तत्व को डिजिटल रूप से हस्ताक्षरित दिखाया गया है। हालाँकि, व्यवहार में, एकाधिक   तत्वों को एक   तत्व के अंतर्गत संपूर्ण एग्रीगेट पर एकल डिजिटल चिन्ह के साथ एक साथ संग्रहित किया जाता है:

उपरोक्त   तत्व के बारे में निम्नलिखित विवरणों पर ध्यान दें:


 * डिजिटल चिन्ह (संक्षिप्तता के लिए हटा दिया गया है) संपूर्ण एग्रीगेट को सम्मिलित करता है।
 * विशेषता को पैरेंट तत्व तक बढ़ा दिया गया है, जिसका अर्थ है कि अवसान तिथि प्रत्येक चाइल्ड तत्व पर प्रयुक्त होती है।
 * अनावश्यक नामस्थान घोषणाओं से संरक्षित करने के लिए एक्सएमएल नामस्थान घोषणाओं को पैरेंट तत्व तक बढ़ा दिया गया है।

सामान्य रूप से मेटाडेटा एग्रीगेट विश्वसनीय तृतीय पक्षों द्वारा प्रकाशित किए जाते हैं जिन्हें संघ कहा जाता है जो एग्रीगेट में सभी मेटाडेटा की अखंडता की प्रत्याभूति देते हैं। ध्यान दें कि मेटाडेटा एग्रीगेट बहुत बड़ा हो सकता है, जो प्रति एग्रीगेट सैकड़ों या हजारों इकाइयों से बना हो सकता है।

यह भी देखें

 * सुरक्षा अभिकथन मार्कअप भाषा
 * एसएएमएल 1.1
 * एसएएमएल मेटाडेटा
 * एसएएमएल-आधारित उत्पाद और सेवाएँ
 * मुक्तआईडी संयोजन

संदर्भ
Primary references:

Secondary references:


 * P. Mishra et al. Conformance Requirements for the OASIS Security Assertion Markup Language (SAML) V2.0 – Errata Composite. Working Draft 04, 1 December 2009. Document ID sstc-saml-conformance-errata-2.0-wd-04 https://www.oasis-open.org/committees/download.php/35393/sstc-saml-conformance-errata-2.0-wd-04-diff.pdf


 * N. Ragouzis et al., Security Assertion Markup Language (SAML) V2.0 Technical Overview. OASIS Committee Draft, March 2008. Document ID sstc-saml-tech-overview-2.0-cd-02 http://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf


 * P. Madsen et al., SAML V2.0 Executive Overview. OASIS Committee Draft, April 2005. Document ID sstc-saml-tech-overview-2.0-cd-01-2col http://www.oasis-open.org/committees/download.php/13525/sstc-saml-exec-overview-2.0-cd-01-2col.pdf


 * J. Kemp et al. Authentication Context for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-authn-context-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf


 * F. Hirsch et al. Security and Privacy Considerations for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-sec-consider-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-sec-consider-2.0-os.pdf


 * J. Hodges et al. Glossary for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-glossary-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-glossary-2.0-os.pdf

Deprecated references:


 * P. Mishra et al. Conformance Requirements for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-conformance-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-conformance-2.0-os.pdf


 * S. Cantor et al. Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-core-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf


 * S. Cantor et al. Bindings for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-bindings-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf


 * S. Cantor et al. Profiles for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-profiles-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf


 * S. Cantor et al. Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0. OASIS Standard, March 2005. Document ID saml-metadata-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf