IdP, oświadczenia, tokeny i usługi STS są elementami składowymi architektury opartej na oświadczeniach. W tym przypadku celem jest ułatwienie podmiotowi przedstawienia swojej tożsamości cyfrowej w aplikacji, a następnie aplikacja decyduje o uprawnieniach dostępu związanych z tożsamością cyfrową. Każda aplikacja ma własne wymagania lub kryteria filtrowania użytkowników pod kątem uwierzytelniania. Dlatego w przypadku uwierzytelniania opartego na oświadczeniach ważne jest, aby podmiot zrozumiał wymagania dotyczące tożsamości dla aplikacji i podejść do odpowiedniego STS w celu wydania tokenu. Podmiot zostanie uwierzytelniony tylko wtedy, gdy aplikacja ufa podanej tożsamości. Rysunek przedstawia przegląd architektury opartej na oświadczeniach.
Wymagane kroki są następujące:
- Podmiot rozumie wymóg tożsamości aplikacji.
- Podmiot zwraca się z żądaniem do STS zgodnie z wymaganiami dotyczącymi tożsamości wymaganymi dla wniosku.
- STS uwierzytelnia podmiot i wysyła token do podmiotu. Ten token jest podpisany cyfrowo przez STS.
- Podmiot przesyła ten token do aplikacji, a po upoważnieniu uzyskuje dostęp do aplikacji.
Model ten można dalej modyfikować, aby dopasować go do rzeczywistych wymagań organizacji. Na przykład w kroku 3 usługa STS uwierzytelnia podmiot za pomocą prostych haseł, protokołu Kerberos lub dowolnej metody alternatywnej. W celu tworzenia tokenów STS może uchwycić tożsamość podmiotu za pomocą repozytorium online. Format tokena może być zgodny ze standardem lub innym formatem uzgodnionym między STS a aplikacją. Emitent może również ograniczyć żywotność tokena ze względów bezpieczeństwa.