Una aserción o assertion SAML puede incluir una o más declaraciones o statements sobre las propiedades (identidad, atributos) y los permisos de un usuario. El responsable de crearla es el proveedor de identidad correspondiente, es decir, la base de datos que corresponda al usuario, que utiliza XML como lenguaje de marcado. Cada aserción recibe una firma digital, que primero tiene que ser comprobada y verificada por el service provider o proveedor de servicios al que se desea acceder, es decir, por la aplicación pertinente. De esta forma, es posible garantizar la integridad y autenticidad de la aserción, que recibe el nombre, una vez firmada, de token SAML. Después de realizar la verificación, el proveedor de servicios analiza el contenido concreto y luego decide si otorga o no acceso al usuario y en caso afirmativo, qué tipo de acceso otorga.
El estándar SAML 2.0 especifica los tres tipos siguientes de declaraciones en la aserción:
- Authentication Statements: son expedidas por la entidad que ha llevado a cabo el proceso de autentificación del usuario. En una declaración de este tipo se recoge quién la ha emitido, el sujeto autentificado, el período de validez y otros datos relacionados con la autentificación. Nos referiremos a ellas también como declaraciones o afirmaciones de autentificación.
- Attribute Statements: contienen detalles específicos sobre el usuario y pueden ser comunicadas a la aplicación mediante el token SAML correspondiente. Nos referiremos a ellas también como declaraciones o afirmaciones de atributos.
- Authorization Decision Statements: recogen datos sobre lo que le está o no permitido hacer al usuario. Por ejemplo, si está o no autorizado a acceder a un determinado recurso. Nos referiremos a ellas también como declaraciones o afirmaciones de autorización.