SAML v2

SAML sta pe Security Assertion Markup Language

E' lo standar per lo scambio di dati (basato su XML) di autenticazione e autorizzazione (asserzioni) tra domini di sicurezza distinti, tipicamente un identity provider (IDP) e un service provider (SP).

SAML suppone che l'utente (detto principal) sia iscritto ad almeno un IDP.

Shibboleth è l'implementazione di riferimento di SAML, ma ne esistono altre: SimpleSAMLphp, Microsoft ADFS, OneLogin, Google, Authentic 2, JOSSO, PingFederate, ecc...

Attribute Autority: rilascia gli attributi e spesso coincide con l'IdP.

Discovery Service: media tra SP ed Utente per determinare quale IdP interrogare.

Asserzioni: In un certo istatne questo IdP asserisce che per un determinato soggetto valgono questi attributi. Ha forma di un pacchetto XML compredente: Issuer: entityId che ha rilasciato l'assezione Firme e chiavi Subject: oggetto dell'assezione Conditions: condizioni di validita' dell'asserzione AuthnStatement: le circostanze di autenticazione AttributeStatement: elenco degli attributi del soggetto

Metadata: Come fanno IdP eSP a "conoscersi"? Si scambiano i metadata ogni attore e' identificato da un EntityID informazioni di contorno per l'utente chiavi crittograficeh e loro uso il formato di nomi supportato per IdP: binding e location dei servizi supportati SSP, SLO, Artifact Resolution, AA, ecc... per SP: binding e location dei servizi supportati ACS, SLO, Artifact Resolution, ecc...