-Die Authentifizierungsphase über \acr{RADIUS} wird dahingehend erweitert, dass das Bridged Element der Heiminstitution des Benutzers als Interface zwischen dem \acr{RADIUS}-Server der Heiminstitution und dem Identity Provider arbeitet, und zusätzlich dem \acr{RADIUS}-Server der besuchten Institution eine Zugriffsnummer mitgibt, mit der weitere Benutzerattribute abgerufen werden können. Das Bridged Element der besuchten Organisation ist dafür zuständig, Autorisierungsanfragen des \acr{RADIUS}-Server seiner Institution zu beantworten, indem er die Anfrage an die Heiminstitution des Benutzers weiterleitet, wobei die vorher erhaltene Zugriffsnummer als Schlüssel dient, um dem Bridged Element der Heiminstitution die Berechtigung nachzuweisen. Aufgrund dieser abgefragten Attribute ist der Policy Decision point in der besuchten Institution imstande, Autorisierungsentscheidungen zu treffen und den Zugriff auf Netzwerkressourcen zuzulassen oder zu verweigern.
+Die Kommunikation zwischen \acr{RADIUS}-Server und Bridged Element findet bevorzugt über \acr{LDAP} (Lightweight Directory Access Protocol) statt; einem weit verbreiteten Protokoll zur Abfrage von Daten aus einem Verzeichnis. Bridged Elements verständigen sich untereinander über \acr{SAML}, das im XML-basierten \acr{SOAP} über HTTP oder ähnliche Protokolle auf Anwendungsschicht gekapselt wird, um Prozeduren auf entfernten Systemen aufzurufen (sog. \emph{Remote Procedure Call}).
+
+Die Authentifizierungsphase über \acr{RADIUS} wird dahingehend erweitert, dass der Server der Home Institution dem anfragenden Server der Remote Institution in der RADIUS-\emph{Access-Accept}-Nachricht ein \emph{Handle} mitgibt, mit dem dieser über das Bridged Element seiner Institution weitere Attribute des Benutzers abfragen kann. Das Bridged Element der Remote Institution leitet die Autorisierungsanfragen über SAML an das Bridged Element der Heiminstitution weiter, wobei das vorher erhaltene Handle als Schlüssel dient, um dem Bridged Element der Heiminstitution die Berechtigung nachzuweisen.
+
+Die empfangenen Attribute wiederum verwendet das Bridged Element der Remote Institution, um den Policy Decision Point nach einer endgültigen Autorisierungsentscheidung zu fragen, und schließlich dem RADIUS-Server der Remote Institution mitzuteilen, ob der Zugriff auf die vom Benutzer angeforderten Netzwerkressourcen zuzulassen oder zu verweigern ist.