AuthnStatement
要素は、アイデンティティプロバイダでの認証行為を表します。 アサーション発行者がサブジェクトを認証した場合、アサーションにはその認証イベントを表す単一の文字を含めるべきです(SHOULD)。
例:
<AuthnStatement AuthnInstant="2010-10-01T20:07:34.371Z">
<AuthnContext>
<AuthnContextClassRef>
<!--Authentication method, was the client authenticated with digital cert, password, kerberos token?-->
urn:oasis:names:tc:SAML:2.0:ac:classes:X509
<!--For example, the Password class is applicable when a principal authenticates to an authentication authority through the presentation of a password over an unprotected HTTP session. -->
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos
</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
SubjectConfirmation
要素は、認証サーバがベアラーアサーションとしてそれを確認することができます。そのような要素は、 "urn:oasis:names:tc:SAML:2.0:cm:bearer"の値を持つMethod属性を持たなければなりません。 SubjectConfirmation要素には、認可サーバーのトークンエンドポイントURLを示すSubjectConfirmationData要素(例外あり)が含まれていなければなりません。認可サーバーは、受信者属性の値が、アサーションが配信されたトークンエンドポイントURLと一致していることを確認する必要があります。
例:
<saml:SubjectConfirmation>
<!-- Mandatory -->
Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData>
<!-- The AuthRequest sent this ID -->
InResponseTo="aaf23196-1773-2113-474a-fe114412ab72"
<!-- It was through HTTP POTS token endpoint URL -->
Recipient="https://sp.example.com/SAML2/SSO/POST"
<!-- Not valid ON or After this Date-->
NotOnOrAfter="2004-12-05T09:27:05"/>
</saml:SubjectConfirmation>