SAML アサーション

IDPがSPに対し送る認証結果や他情報(認可・ユーザー属性等)
主にSPの要求に基づきIDPが発行するが、SPの要求なしでIDPが発行する事もある。※SP-initiated or IDP-initiated

SAML プロトコルメッセージ

SAMLリクエストとレスポンスのやりとりを実現するもの。XMLで表現。

SAML Bindings

SAML プロトコルメッセージを伝達する方法(HTTP or SOAP等)を定義する。

SAML プロファイル

ユースケースを実現するSAMLアサーション、プロトコルメッセージ、およびバインディングの組み合わせ・制約を定義

属性プロファイル(Attribute Profiles)

プロトコルメッセージ、バインディングスを利用せず一般的なデータ転送方式(LDAP等)でSAMLアサーションを伝送する方法を定義

メタデータ

SAML環境のデプロイで利用。
SP/IDP間の構成情報を定義。
SP/IDP間のSAMLバインディング、運用上の役割（IDP、SPなど）、識別子情報、サポートされているID属性、および暗号化と署名のキー情報を含む。
XMLで定義。
詳細は以下参照。
http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf

認証コンテキスト(Authentication Context)

SAML環境のデプロイで利用。
IDPによる認証の種類・強度等の情報。
アサーションに含めることで、SPに通知が可能。
SAMLリクエストに含める事で、SPがIDPに認証要件を要求することもできる。
詳細は以下参照。
http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf

Assertions

• IDPがSPに対し通知する処理対象ユーザーの情報(例: 名前、メールアドレス、所属グループ、)。
• 必須、オプション情報がある。通常、以下情報を含む。

　1) 対象ユーザーを特定する情報
　2) アサーションを検証する条件
　3) アサーションステートメント

• アサーションステートメントには以下3種類があり。

Protocols

SAMLが定義する要求・応答のルール

Bindings

SAMLプロトコルメッセージを、どのように伝達するか？を定義。

Profiles

ユースケースを実現するSAMLアサーション、プロトコルメッセージ、およびバインディングの組み合わせ・制約を定義

4.1 Basic Concepts

SAMLはビルディングブロックコンポーネントで構成されており、これらを組み合わせると、さまざまなユースケースをサポートできます。
コンポーネントは主に、信頼関係が確立されている自律型組織間でのID、認証、属性、および承認情報の転送を許可します。
コアSAML仕様は、この情報の転送に使用されるアサーションとプロトコルメッセージの両方の構造と内容を定義します。
SAMLアサーションは、アサーションパーティが真であると主張するプリンシパルに関するステートメントを伝達します。
アサーションの有効な構造と内容は、SAMLアサーションXMLスキーマによって定義されます。
アサーションは通常、依拠当事者からのある種の要求に基づいて主張当事者によって作成されますが、特定の状況下では、アサーションは一方的な方法で依拠当事者に配信される場合があります。
SAMLプロトコルメッセージは、SAML定義の要求を作成し、適切な応答を返すために使用されます。これらのメッセージの構造と内容は、SAML定義のプロトコルXMLスキーマによって定義されます。
参加者間でSAMLプロトコルメッセージを転送するために低レベルの通信またはメッセージングプロトコル（HTTPやSOAPなど）を使用する手段は、SAMLバインディングによって定義されます。
次に、SAMLプロファイルは、特定のビジネスユースケース（たとえば、WebブラウザSSOプロファイル）を満たすように定義されます。
プロファイルは通常、相互運用可能な方法でビジネスユースケースを解決するために、SAMLアサーション、プロトコル、およびバインディングのコンテンツに対する制約を定義します。
また、プロトコルメッセージやバインディングを参照しない属性プロファイルもあり、多くの一般的な使用環境（X.500 / LDAPディレクトリ、DCEなど）に合わせてアサーションを使用して属性情報を交換する方法を定義します。
次に、SAMLプロファイルは、特定のビジネスユースケース（たとえば、WebブラウザSSOプロファイル）を満たすように定義されます。
プロファイルは通常、相互運用可能な方法でビジネスユースケースを解決するために、SAMLアサーション、プロトコル、およびバインディングのコンテンツに対する制約を定義します。
また、プロトコルメッセージやバインディングを参照しない属性プロファイルもあり、多くの一般的な使用環境（X.500 / LDAPディレクトリ、DCEなど）に合わせてアサーションを使用して属性情報を交換する方法を定義します。
メタデータは、SAMLパーティ間で構成情報を表現および共有する方法を定義します。たとえば、エンティティでサポートされているSAMLバインディング、運用上の役割（IDP、SPなど）、識別子情報、サポートされているID属性、および暗号化と署名のキー情報は、SAMLメタデータXMLドキュメントを使用して表現できます。
SAMLメタデータは、独自のXMLスキーマによって定義されます。
多くの場合、サービスプロバイダーは、ユーザーがIDプロバイダーで認証するときに使用した認証の種類と強度に関する詳細情報を持っている必要があります。 SAML認証コンテキストは、この情報を伝達するためにアサーションの認証ステートメントで使用されます（または参照されます）。
SPは、IdPへの要求に認証コンテキストを含めて、多要素認証などの特定の認証要件のセットを使用してユーザーを認証するように要求することもできます。認証コンテキスト宣言を作成するためのメカニズムを定義する一般的なXMLスキーマと、一般的に使用される認証方法を説明する独自のXMLスキーマを持つSAML定義の認証コンテキストクラスのセットがあります。

4.2. Advanced Concepts

4.2.1. Subject Confirmation

SAMLアサーションには、SubjectConfirmationという要素が含まれる場合があります。 実際には、SubjectConfirmationが言うことは、「これらは、認証エンティティ（アサーションを使用しようとしている人）がそうすることを許可される条件です」です。
アサーションを使用しようとしているエンティティ、つまり「ウィーダー」は、通常はサブジェクトとの関係を暗示することによって、その権利を証明しています。
アサーションには任意の数のSubjectConfirmation要素を含めることができますが、認証エンティティはそのうちの1つを満たす必要があります。
SubjectConfirmation要素は、依拠当事者が、アサーションのサブジェクトと、依拠当事者が通信している当事者との対応を検証するための手段を提供します。
Method属性は、証明書利用者がこの決定を行うために使用する必要がある特定の方法を示します。
SAML 2.0は、SubjectConformation要素のMethod属性に3つの値を定義することにより、3つの異なるセキュリティシナリオを考慮しています。
urn：oasis：names：tc：SAML：2.0：cm：holder-of-key
urn：oasis：names：tc：SAML：2.0：cm：sender-vouches
urn：oasis：names：tc：SAML：2.0：cm：bearer
キーの所有者モデルでは、証明書利用者は、SubjectConfirmation要素のSubjectConfirmationData要素に含まれる特定のキー情報の知識を示すことができるすべての当事者がアサーションを使用できるようにします（これにより、内部のサブジェクトとの何らかの関係を主張します）。
ベアラモデルでは、証明書利用者は、アサーションを保持するすべての当事者が（他の制約も満たされていると仮定して）アサーションを使用できるようにします（したがって、内部のサブジェクトとの何らかの関係を主張します）。
送信者保証モデルでは、依拠当事者は、どの当事者がアサーションの使用を許可されるべきかを決定する際に他の基準を使用します（したがって、内部のサブジェクトとの何らかの関係を主張します）。

4.3. SAML Components

このセクションでは、SAML環境でのアサーション、プロトコル、バインディング、およびプロファイルの概念を表す各コンポーネントについて詳しく説明します。
アサーション：SAMLを使用すると、一方の当事者がサブジェクトに関するステートメントの形式でセキュリティ情報をアサーションできます。 たとえば、SAMLアサーションは、サブジェクトの名前が「John Doe」であり、電子メールアドレスがjohn.doe@example.comであり、「engineering」グループのメンバーであると述べることができます。
アサーションには、そのすべてのステートメントに適用される基本的な必須およびオプションの情報が含まれ、通常、アサーションのサブジェクト（存在しない場合は、サブジェクトの確認に使用される証明書など、他の手段で決定されたID）、検証に使用される条件が含まれます。 アサーション、およびアサーションステートメント。
SAMLは、アサーション内で実行できる3種類のステートメントを定義します。
•認証ステートメント：これらは、ユーザーの認証に成功した当事者によって作成されます。
少なくとも、ユーザーの認証に使用される特定の手段と、認証が行われた特定の時刻について説明します。
•属性ステートメント：これらには、サブジェクトに関する特定の識別属性が含まれます（たとえば、ユーザー「JohnDoe」のカードステータスは「Gold」です）。
•承認決定ステートメント：これらは、サブジェクトが実行する資格があることを定義します（たとえば、「JohnDoe」が特定のアイテムの購入を許可されているかどうか）。
プロトコル：SAMLは、いくつかの一般化された要求/応答プロトコルを定義します。

•認証要求プロトコル：プリンシパル（またはプリンシパルに代わって動作するエージェント）が認証ステートメントと、オプションで属性ステートメントを含むアサーションを要求できる手段を定義します。
WebブラウザSSOプロファイルは、SPでユーザーのセキュリティコンテキストを確立するためにアサーションを取得する必要がある場合に、ユーザーをSPからIdPにリダイレクトするときにこのプロトコルを使用します。

•シングルログアウトプロトコル：プリンシパルに関連付けられたアクティブなセッションのほぼ同時のログアウトを可能にするメカニズムを定義します。
ログアウトは、ユーザーが直接開始することも、セッションのタイムアウトや管理者コマンドなどが原因でIdPまたはSPによって開始することもできます。

•アサーションクエリおよび要求プロトコル：SAMLアサーションを取得するための一連のクエリを定義します。このプロトコルの要求フォームは、アサーションIDを参照することにより、既存のアサーションをアサーティングパーティに要求できます。
このプロトコルのクエリ形式は、特定のサブジェクトと目的のステートメントタイプに基づいて、証明書利用者がアサーション（新規または既存）を要求する方法を定義します。

•アーティファクト解決プロトコル：アーティファクトと呼ばれる小さな固定長の値を使用して、参照によってSAMLプロトコルメッセージを渡すことができるメカニズムを提供します。
アーティファクト受信者は、アーティファクト解決プロトコルを使用して、メッセージ作成者にアーティファクトの逆参照を要求し、実際のプロトコルメッセージを返します。
アーティファクトは通常、1つのSAMLバインディング（HTTPリダイレクトなど）を使用してメッセージ受信者に渡されますが、解決の要求と応答は、SOAPなどの同期バインディングを介して行われます。

•名前識別子管理プロトコル：プリンシパルを参照するために使用される名前識別子の値または形式を変更するメカニズムを提供します。
リクエストの発行者は、サービスプロバイダーまたはIDプロバイダーのいずれかです。このプロトコルは、IDプロバイダーとサービスプロバイダー間の名前識別子の関連付けを終了するメカニズムも提供します。

•名前識別子マッピングプロトコル：適切なポリシー制御に従って、あるSAML名前識別子を別のSAML名前識別子にプログラムでマッピングするメカニズムを提供します。これにより、たとえば、あるSPがIdPから、アプリケーション統合シナリオでSPが別のSPで使用できるユーザーの識別子を要求できるようになります。

バインディング：SAMLバインディングは、さまざまなSAMLプロトコルメッセージが基盤となるトランスポートプロトコルを介してどのように伝送されるかを正確に示します。
SAMLV2.0で定義されているバインディングは次のとおりです。
•HTTPリダイレクトバインディング：HTTPリダイレクトメッセージ（302ステータスコード応答）を使用してSAMLプロトコルメッセージを転送する方法を定義します。
•HTTPPOSTバインディング：HTMLフォームコントロールのbase64でエンコードされたコンテンツ内でSAMLプロトコルメッセージを転送する方法を定義します。
HTTPアーティファクトバインディング：アーティファクト（上記のアーティファクト解決プロトコルで説明）が、HTTPを使用してメッセージ送信者からメッセージ受信者に転送される方法を定義します。
HTMLフォームコントロールまたはURLのクエリ文字列の2つのメカニズムが提供されます。
•SAMLSOAPバインディング：SAMLプロトコルメッセージがSOAP 1.1メッセージ内で転送される方法を定義し、SOAPoverHTTPの使用に関する詳細を示します。
•リバースSOAP（PAOS）バインディング：HTTPクライアントがSOAPレスポンダーになることを許可するマルチステージSOAP/HTTPメッセージ交換を定義します。
拡張クライアントおよびプロキシプロファイルで使用され、IDP検出を支援できるクライアントおよびプロキシを有効にします。
•SAMLURIバインディング：URI（URI（URI（Uniform Resource Identifier））を解決することにより、既存のSAMLアサーションを取得する手段を定義します。

プロファイル：SAMLプロファイルは、SAMLアサーション、プロトコル、およびバインディングを組み合わせて制約し、特定の使用シナリオでの相互運用性を高める方法を定義します。これらのプロファイルの一部については、このドキュメントの後半で詳しく説明します。 SAMLV2.0で定義されているプロファイルは次のとおりです。
•WebブラウザーSSOプロファイル：SAMLエンティティが認証要求プロトコルとSAML応答メッセージおよびアサーションを使用して、標準のWebブラウザーでシングルサインオンを実現する方法を定義します。これは、メッセージがHTTPリダイレクト、HTTP POST、およびHTTPアーティファクトバインディングと組み合わせてどのように使用されるかを定義します。
•拡張クライアントおよびプロキシ（ECP）プロファイル：特殊なクライアントまたはゲートウェイプロキシがReverse-SOAP（PAOS）およびSOAPバインディングを使用できる特殊なSSOプロファイルを定義します。
•IDプロバイダー検出プロファイル：ユーザーが以前にアクセスしたIDプロバイダーについてサービスプロバイダーが学習するための1つの可能なメカニズムを定義します。
•シングルログアウトプロファイル：SAMLシングルログアウトプロトコルをSOAP、HTTPリダイレクト、HTTP POST、およびHTTPアーティファクトバインディングで使用する方法を定義します。
•アサーションクエリ/リクエストプロファイル：SAMLエンティティがSAMLクエリおよびリクエストプロトコルを使用して、SOAPなどの同期バインディングを介してSAMLアサーションを取得する方法を定義します。
•アーティファクト解決プロファイル：SAMLエンティティがSOAPなどの同期バインディングを介してアーティファクト解決プロトコルを使用して、アーティファクトによって参照されるプロトコルメッセージを取得する方法を定義します。
•名前識別子管理プロファイル：名前識別子管理プロトコルをSOAP、HTTPリダイレクト、HTTP POST、およびHTTPアーティファクトバインディングで使用する方法を定義します。
•名前識別子マッピングプロファイル：名前識別子マッピングプロトコルがSOAPなどの同期バインディングを使用する方法を定義します。

4.4. SAMLXMLコンストラクトと例

このセクションでは、いくつかの主要なSAMLXML構成の説明と例を示します。

4.4.1. SAMLコンポーネントの関係

アサーションには、1つ以上のステートメントと、含まれているすべてのステートメントまたはアサーション全体に適用されるいくつかの共通情報が含まれています。
SAMLアサーションは通常、SAMLプロトコル応答メッセージでパーティ間で伝送されます。SAMLプロトコル応答メッセージ自体は、ある種のトランスポートまたはメッセージングプロトコルを使用して送信する必要があります。
図5は、包含の典型的な例を示しています。一連のステートメントを含むSAMLアサーションであり、全体がSAML応答内に含まれ、それ自体が何らかのプロトコルによって実行されます。