Базовый сценарий
Ниже приводится пример системы на основе утверждений.
На предыдущей схеме показана веб-служба, поддерживающая удостоверения (приложение проверяющей стороны), и интеллектуальный клиент, который будет использовать эту службу. Проверяющая сторона предоставляет политику, которая содержит ее адреса, привязки и контракты. Однако политика также включает список утверждений, необходимых проверяющей стороне, таких как имя пользователя, адрес электронной почты и членство в ролях. Политика также сообщает интеллектуальному клиенту адрес службы STS, из которой он должен получить эти утверждения. После получения этой политики (1) клиент знает, где нужно проходить проверку подлинности — в службе STS. Пользователь предоставляет учетные данные (2), и интеллектуальный клиент направляет через веб-службу запрос (3) к службе STS на получение утверждений, которые требовала проверяющая сторона в своей политике. Задача службы STS состоит в том, чтобы проверить подлинность пользователя и вернуть маркер безопасности, который возвращает проверяющей стороне все необходимые ей утверждения. После этого интеллектуальный клиент делает запрос к проверяющей стороне (4), отправляя маркер безопасности вместе с заголовком безопасности SOAP. Теперь проверяющая сторона получает утверждения с каждым запросом и просто отклоняет любые запросы, которые не включают маркер безопасности от доверенной службы, выдающей сертификаты.