Une assertion SAML peut contenir une ou plusieurs déclaration(s) sur les propriétés (identité, attributs) et les autorisations d’un utilisateur. Elle est créée par le fournisseur d’identité concerné, c’est-à-dire la base de données utilisateur responsable, en utilisant XML comme langage de balisage. Chaque assertion reçoit également une signature numérique qui est dans un premier temps contrôlée par le fournisseur de services procédant à l’accès, à savoir l’application concernée. Ceci permet de garantir l’intégrité et l’authenticité de l’assertion, que l’on nomme également jeton SAML sous sa forme signée. Une fois la vérification réussie, le fournisseur de services analyse le contenu à proprement parler avant de prendre une décision sur un éventuel accès à accorder à l’utilisateur.
Les trois types d’assertions suivants sont spécifiés dans le standard SAML 2.0 :
- Authentication Statements : les Authentication Statements permettent au fournisseur d’identité d’informer l’application du fait que l’utilisateur a été authentifié. D’autre part, ce type de déclaration dans une assertion fournit également des informations sur le moment de l’authentification et sur la méthode utilisée pour y procéder.
- Attribute Statements : les Attribute Statements sont des attributs associés à l’utilisateur concerné, pouvant être communiqués à l’application via le jeton SAML correspondant.
- Authorization Decision Statements : lorsqu’une assertion SAML contient des Authorization Decision Statements, cela implique que l’utilisateur concerné s’est vu autoriser ou refuser l’accès à des ressources spécifiques.