Security Assertion Markup Language

SAML (ang. Security Assertion Markup Language) – nazwa protokołu, zatwierdzonego przez OASIS (Organization for the Advancement of Structured Information Standards) i wykorzystywanego do pośredniczenia w uwierzytelnianiu i automatycznego przekazywania między systemami i aplikacjami informacji o uprawnieniach użytkowników. Protokół ten bazuje na standardzie XML. Najważniejszą cechą SAMLa jest próba rozwiązania problemu wielokrotnego logowania do stron WWW.

Specyfikacja SAMLa wyróżnia trzy główne role: Podmiot (the principal), Dostawca Tożsamości (the Identity Provider, IdP) oraz Dostawca Treści (the Service Provider, SP).

Najważniejszym zastosowaniem protokołu SAML jest Pojedyncze logowanie (SSO). Podmiot, najczęściej użytkownik wykorzystujący przeglądarkę internetową, oczekuje udostępnienia przez Dostawcę Treści treści (zasobu). Dostawca Treści wymaga potwierdzenia tożsamości Podmiotu. Za potwierdzenie tożsamości odpowiada Dostawca Tożsamości.

Typowy scenariusz z wykorzystaniem SAML 2.0:

1. Podmiot (np. użytkownik korzystający z przeglądarki) żąda dostępu do treści (zasobu) od Dostawcy Treści.
2. Dostawca Treści stwierdza, że wymaga potwierdzenia tożsamości Podmiotu. Dostawca Treści w odpowiedzi przekazuje adres usługi SSO Dostawcy Tożsamości.
3. Podmiot zostaje przekierowany do usługi SSO Dostawcy Tożsamości.
4. Dostawca Tożsamości uwierzytelnia Podmiot. Dostawca Tożsamości wysyła do Podmiotu odpowiedź (zawierającą m.in. SAMLResponse oraz RelayState)
5. Podmiot przesyła do Dostawcy Treści dane otrzymane w poprzednim kroku.
6. Dostawca Treści przetwarza dane oraz przesyła Podmiotowi żądanie przekierowania do treści.
7. Podmiot zostaje przekierowany do treści.
8. Dostawca treści udostępnia Podmiotowi żądaną treść.