SAML (Security Assertions Markup Language) ist ein von OASIS (Organization for Advancement Structured Information Sciences) ratifizierter Branchenstandard. Dieses XML-basierte Framework bietet eine Standardmethode zur Definition von Benutzerauthentifizierung, Berechtigungen und Attributinformationen in XML-Dokumenten.

Wie der Name schon sagt, erlaubt Security Assertions Markup Language es Unternehmen, Aussagen (Assertions) bezüglich der Identität, Attributen und Berechtigungen eines Subjekts gegenüber anderen Entitäten zu machen, die ein Partnerunternehmen, eine andere Unternehmensanwendung usw. sein können. Diese Assertions werden als XML-Dokumente übergeben, die entweder von der Asserting Party an die Relying Party übergeben oder von der Asserting Party an die Relying Party abgerufen werden.

Warum ist es nötig?

Sowohl im B2B- als auch im B2C-Bereich kann eine einzige "Transaktion" heute oft über mehrere Unternehmen, mehrere Websites und mehrere Marktplätze verteilt sein, die alle ihre eigenen Authentifizierungs- und Autorisierungsverfahren haben können. Unternehmen benötigen ein standardisiertes, offenes Framework, das es ihnen ermöglicht, Vertrauensketten über Unternehmensgrenzen, heterogene Plattformen und Lösungen verschiedener Anbieter hinweg aufzubauen.

Die Liberty Alliance hat ihre Phase-1-Spezifikationen für föderierte Internet-Identität zu einem großen Teil auf SAML aufgebaut.

Aktueller Stand

Die SAML 1.0-Spezifikation wurde im November 2002 vom OASIS Security Services Technical Committee als OASIS Open Standard ratifiziert.

Beteiligung von Entrust

Entrust ist ein aktives Mitglied des OASIS Security Services Technical Committee und arbeitet an SAML. Zusätzlich war Entrust Spezifikationseditor für die Phase-1-Spezifikationen der Liberty Alliance. Die neueste Version von Entrust GetAccess™ verwendet SAML, um Benutzerauthentifizierung, Berechtigungen und Attributinformationen in XML zu definieren.