<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
* Ikiwa unataka kuona **kampuni yako inatangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
**Security Assertion Markup Language (SAML)** inawezesha watoaji wa kitambulisho (IdP) kutumiwa kutuma vitambulisho vya idhini kwa watoaji wa huduma (SP), kurahisisha kuingia kwa moja kwa moja (SSO). Njia hii inasaidia usimamizi wa kuingia kwa moja kwa moja kwa kuruhusu seti moja ya vitambulisho kutumiwa kwenye tovuti nyingi. Inatumia XML kwa mawasiliano yaliyostandardishwa kati ya IdP na SP, kuunganisha uwakilishi wa kitambulisho cha mtumiaji na idhini ya huduma.
**Kwa maelezo zaidi angalia chapisho kamili kutoka [https://epi052.gitlab.io/notes-to-self/blog/2019-03-07-how-to-test-saml-a-methodology/](https://epi052.gitlab.io/notes-to-self/blog/2019-03-07-how-to-test-saml-a-methodology/)**. Hii ni muhtasari:
Fikiria hali ambapo mtumiaji anauliza upatikanaji wa rasilimali salama kwenye [https://shibdemo-sp1.test.edu/secure/](https://shibdemo-sp1.test.edu/secure/). SP inatambua ukosefu wa uthibitisho na inazalisha Ombi la SAML:
Baada ya kuzalisha Ombi la SAML, SP inajibu na **302 redirect**, ikiongoza kivinjari kwa IdP na SAML Request iliyohifadhiwa katika kichwa cha majibu ya HTTP cha **Location**. Parameter ya **RelayState** inahifadhi habari ya hali kwa njia ya shughuli, ikisaidia SP kutambua ombi la rasilimali ya awali baada ya kupokea SAML Response. Parameter ya **SAMLRequest** ni toleo lililofupishwa na kuhifadhiwa kwa njia ya msimbo wa XML, ikichanganya ujazo wa Deflate na msimbo wa base64.
Unaweza kupata [jibu kamili la SAML hapa](https://epi052.gitlab.io/notes-to-self/blog/2019-03-07-how-to-test-saml-a-methodology/). Vipengele muhimu vya jibu ni pamoja na:
- **ds:Signature**: Sehemu hii, Saini ya XML, inahakikisha uadilifu na uhalali wa mtumaji wa tamko. Jibu la SAML katika mfano lina vipengele viwili vya `ds:Signature`, kimoja kwa ujumbe na kingine kwa tamko.
- **saml:Assertion**: Sehemu hii ina habari kuhusu kitambulisho cha mtumiaji na labda sifa zingine.
- **saml:Subject**: Inabainisha mada kuu ya taarifa zote katika tamko.
- **saml:StatusCode**: Inawakilisha hali ya uendeshaji kujibu ombi husika.
- **saml:Conditions**: Inaelezea hali kama vile muda wa halali wa Tamko na Mtoa Huduma aliyetajwa.
- **saml:AuthnStatement**: Inathibitisha kuwa IdP iliwakiki mada ya Tamko.
- **saml:AttributeStatement**: Ina sifa zinazoelezea mada ya Tamko.
Baada ya SAML Response, mchakato unaendelea na 302 redirect kutoka kwa IdP. Hii inasababisha ombi la POST kwa URL ya Huduma ya Watumiaji wa Tamko (ACS) ya Mtoa Huduma. Ombi la POST linajumuisha parameter za `RelayState` na `SAMLResponse`. ACS inawajibika kwa usindikaji na uthibitishaji wa SAML Response.
Baada ya kupokea ombi la POST na kuthibitisha SAML Response, upatikanaji unaruhusiwa kwa rasilimali iliyolindwa ambayo mtumiaji aliiomba awali. Hii inaonyeshwa na ombi la `GET` kwa kielekezi cha `/secure/` na majibu ya `200 OK`, ikionyesha upatikanaji mafanikio wa rasilimali.
Saini za XML ni za kubadilika, zinaweza kusaini mti mzima wa XML au vipengele maalum ndani yake. Zinaweza kutumika kwa Kitu chochote cha XML, sio tu vipengele vya Majibu. Hapa chini ni aina muhimu za Saini za XML:
<summary><strong>Jifunze kuhusu udukuzi wa AWS kutoka mwanzo hadi kuwa bingwa na</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Ikiwa unataka kuona **kampuni yako inatangazwa kwenye HackTricks** au **kupakua HackTricks kwa muundo wa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**swag rasmi wa PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**The PEASS Family**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) za kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwenye** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
