绑定和配置文件
　
　　SAML断言是从Identity Provider传送到Service Provider，但可以通过多种途径实现这一目的。。Service Provider能直接通过一个专用信道获取断言。第二种可行的选择是，请求主题能传送断言并将其提供给Service Provider。第三种选择是通过另一个节点传播断言。在Web服务环境中，SOAP的头文件可传送断言。

　　SAML定义了一组XML 格式的请求和应答消息，Service Provider可使用这些消息直接获取断言。请求会指定Service Provider需要的信息，例如“所有约翰·史密斯的属性”。响应返回一个或多个匹配请求的断言。为使不同的产品能够交互操作，还必须详细说明各种网络协议怎样传送请求和应答。

　　SAML的SOAP绑定详细说明了怎样在SOAP消息体中传送信息。PAOS绑定是专为无法接受但可以发送网络请求的移动电话这样的设备设计的。它向后在HTTP上运行SOAP，在HTTP应答中传送消息。Browser POST 和 Artifact Profile都用于处理标准网络浏览器的操作。在POST Profile中，SAML请求在不可见的域中传送形式上为经由浏览器邮递。在Artifact Profile中，向Service Provider传递一个名为Artifact的任意位字符串，通过一条专用后备信道使用它来响应的断言。

　　SAML还为支持联邦身份环境提供了其他许多有用的机制。一种协议允许Service Provider确定通过将来自几个可能的Identity Provider的特定用户请求指示到何处。另一个协议允许两个Identity Provider将他们各自拥有的同一用户账户关联在一起。例如，一个Identity Provider知道用户为John Smith，另一个Provider知道用户为 Jonathan K. Smith。（正常情况下，出于隐私方面原因，这种关联需要用户的许可。）

　　也有可能使用隐私保护的、临时性的身份，避免暴露长期有效的主题身份。继续我们的示例，一个Identity Provider知道包含主题ABC123的断言表示John Smith，另一个Provider则将ABC123与Jonathan K. Smith关联在一起，但是两者都不知道对方所使用的账户名。以后将使用一个完全不同的主题防止第三方侦测使用模式。

　　SAML提供一个轻量级的注销协议，通知所有Service Provider和Identity Provider一个用户已经签出。其主要目的是为了方便整理资源，而不仅仅是作为一种确保用户从系统中注销的机制。还有许多其他有用的SAML特性，其包含的功能如下：

　　* 加密全部断言，也可选择仅对其敏感部分加密。
　　* 指定一个断言的目标用户。

　　SAML标准中还包含各种功能结合的详细一致性指标，和一个讨论安全和隐私考虑事项的文档，。

　　结束语
　　
　　SAML提供了一组有用的机制，可在规模庞大的环境中实现联邦身份管理。它尽可能详细地指定了绝大部分实际情况，从而提供了出色的交互性。对于独特的需求和未来可能出现的需求而言，它还是可扩展的。