Eine SAML-Assertion kann eine oder mehrere Aussagen über die Eigenschaften (Identität, Attribute)und die Berechtigungen eines Benutzers enthalten. Sie wird durch den jeweiligen Identity-Provider, also die verantwortliche Benutzerdatenbank, erstellt, wobei XML als Auszeichnungssprache zum Einsatz kommt. Jede Assertion erhält zudem eine digitale Signatur, die zunächst durch den zugreifenden Service-Provider, also die jeweilige Anwendung, geprüft und verifiziert werden muss. Auf diese Weise ist die Integrität und Authentizität der Assertion gewährleistet, die man in ihrer signierten Form auch als SAML-Token bezeichnet. Nach erfolgreicher Verifizierung analysiert der Service-Provider den eigentlichen Inhalt und trifft in der Folge eine Entscheidung, ob und welchen Zugriff er dem Benutzer gewährt.
Folgende drei Typen von Aussagen in Assertions sind im SAML-2.0-Standard spezifiziert:
- Authentication Statements: Über Authentication Statements informiert der Identity-Provider die Anwendung darüber, dass der Benutzer authentifiziert wurde. Ferner liefert dieser Aussagentyp in einer Assertion auch Informationen darüber, wann die Authentifizierung stattfand und welche Methode hierfür zur Anwendung kam.
- Attribute Statements: Bei Attribute Statements handelt es sich um Attribute, die mit dem jeweiligen Benutzer verknüpft sind und so der Anwendung über das entsprechende SAML-Token mitgeteilt werden können.
- Authorization Decision Statements: Wenn Authorization Decision Statements in einer SAML-Assertion enthalten sind, hat der jeweilige Benutzer entweder Zugriff auf spezifische Ressourcen erhalten oder ihm wurde der Zugriff auf spezifische Ressourcen verweigert.