3. Authorization Data Formats
本文档包含两种 authorization data formats 的定义: X.509 Attribute Certificate (AC) [ATTRCERT] 和 Security Assertion Markup Language (SAML) [SAML1.1] [SAML2.0]. 其他 authorization data formats 可以在单独文档中定义.
3.1. AttributeCertificateURL Format
使用 x509_attr_cert_url 值时, AC 由 URI [HTTP] 提供.
3.2. SAML Assertion
SAML Assertion 结构为 assertion 提供两种替代方式: by value 或 by reference.
3.2.1. SAML Assertion Version
在 TLS 中, ClientAuthzFormatList 和 ServerAuthzFormatList 内对 authorization data format 的选择不区分 SAML version 1.1 和 version 2.0.
3.2.2. SAML Assertion Encoding
直接表示 SAML assertions 时, TLS handshake protocol 中携带的所有 SAML assertions 必须使用 UTF-8 encoding.
3.3. 使用 SAML Assertions 进行 Authorization Decisions
SAML Assertion 是一种非常丰富的结构, 设计用于许多不同 operating environments 中的多种 authentication mechanisms.
3.3.1. SAML Attribute Statement
SAML attribute statement 携带与 assertion subject 相关联的 attributes 列表.
3.3.2. SAML Authorization Decision Statement
SAML authorization decision statement 携带针对特定 resource 的 authorization decision (Permit, Deny, 或 Indeterminate).