3. Autorisierungsdatenformate

Dieses Dokument enthält die Definition von zwei Autorisierungsdatenformaten: X.509-Attributzertifikat (AC) [ATTRCERT] und Security Assertion Markup Language (SAML) [SAML1.1] [SAML2.0]. Andere Autorisierungsdatenformate können in separaten Dokumenten definiert werden.

3.1. AttributeCertificateURL-Format

Wenn der Wert x509_attr_cert_url verwendet wird, wird das AC durch einen URI [HTTP] bereitgestellt.

3.2. SAML-Assertion

Die SAML-Assertion-Struktur bietet zwei Alternativen für die Assertion: nach Wert oder nach Referenz.

3.2.1. SAML-Assertion-Version

In TLS unterscheidet die Wahl des Autorisierungsdatenformats in der ClientAuthzFormatList und ServerAuthzFormatList nicht zwischen SAML Version 1.1 und Version 2.0.

3.2.2. SAML-Assertion-Kodierung

Wenn SAML-Assertions direkt dargestellt werden, MUSS die UTF-8-Kodierung für alle SAML-Assertions verwendet werden, die im TLS-Handshake-Protokoll übertragen werden.

3.3. Verwendung von SAML-Assertions für Autorisierungsentscheidungen

Die SAML-Assertion ist eine sehr reichhaltige Struktur, die für die Verwendung mit vielen verschiedenen Authentifizierungsmechanismen in vielen verschiedenen Betriebsumgebungen entwickelt wurde.

3.3.1. SAML-Attributanweisung

Eine SAML-Attributanweisung trägt eine Liste von Attributen, die mit dem Assertion-Subjekt verbunden sind.

3.3.2. SAML-Autorisierungsentscheidungsanweisung

Eine SAML-Autorisierungsentscheidungsanweisung trägt eine Autorisierungsentscheidung (Erlauben, Verweigern oder Unbestimmt) für eine bestimmte Ressource.

3.1. AttributeCertificateURL-Format​

3.2. SAML-Assertion​

3.2.1. SAML-Assertion-Version​

3.2.2. SAML-Assertion-Kodierung​

3.3. Verwendung von SAML-Assertions für Autorisierungsentscheidungen​

3.3.1. SAML-Attributanweisung​

3.3.2. SAML-Autorisierungsentscheidungsanweisung​