Поделиться через

Причины использования удостоверений на основе утверждений

  • Статья

Дата последнего изменения: 16 февраля 2011 г.

Применимо к: SharePoint Foundation 2010

Удостоверение на основе утверждений представляет собой модель удостоверений в Microsoft SharePoint Foundation 2010 и Microsoft SharePoint Server 2010, поддерживающую такие возможности как проверка подлинности пользователей систем на базе Windows и других ОС, несколько типов проверки подлинности, надежная проверка подлинности в режиме реального времени, широкий спектр типов участников и делегирование удостоверений пользователей между приложениями.

Разрозненные системы проверки подлинности

Для многих корпоративных приложений требуются определенные базовые функции обеспечения безопасности пользователей. Как минимум, они должны выполнять проверку подлинности пользователей, а многие также должны управлять разрешениями на доступ к определенным компонентам, которые могут использовать только пользователи с особыми привилегиями. Иногда такие правила авторизации требуют атрибутов, отсутствующих в существующих пользовательских маркерах безопасности. Например, список рассылки Microsoft Exchange Server может использоваться в качестве участника для обеспечения безопасности некоторых объектов в SharePoint Server 2010. Такие функции безопасности встроены в операционную систему Windows и обычно легко интегрируются в приложение. Используя встроенную проверку подлинности Windows, разработчику не нужно создавать собственный протокол проверки подлинности или управлять базой данных пользователей. С помощью списков управления доступом, олицетворения и таких функций, как группы, реализовывать авторизацию можно без написания большого объема кода.

Как и Windows, SharePoint Foundation 2010 и SharePoint Server 2010 предоставляют набор функций для облегчения реализации задач авторизации, и для некоторых объектов (например, для объекта Site) это выполняется автоматически и незаметно для пользователя. Это руководство применяется независимо от используемых операционной системы или приложения. Практически всегда удобнее обеспечивать тесную интеграцию со встроенными функциями безопасности SharePoint, чем самостоятельно заново изобретать такие функции.

Однако, что делать при необходимости предоставлять доступ пользователям, не имеющим учетных записей Windows? Или вообще не работающих в Windows? Все больше приложений нуждаются в таком типе доступа к подобным категориям пользователей, что, кажется, полностью нарушает традиционные требования к безопасности. Удостоверения на основе утверждений — это новая модель удостоверений в SharePoint Foundation 2010 и SharePoint Server 2010, предназначенная для решения этих и других проблем.

В Windows самым распространенным типом учетных данных, которые используются для доступа к корпоративным приложениям, является учетная запись домена пользователя. Приложение, использующее встроенную проверку подлинности Windows, получает билет Kerberos для представления клиента. Приложение, использующее протокол SSL, вместо этого может получить сертификат X.509 для клиента. Билет Kerberos и сертификат X.509 — это совершенно разные вещи, и код операционной системы, который выполняет синтаксический анализ, проверку и представление данных, также совершенно разный. Однако если подумать о том, что они представляют на самом деле, можно увидеть, что эти два типа учетных данных имеют много общего.

Представьте следующий сценарий. Пользователь Алиса хочет работать со службой покупок с помощью своей учетной записи домена Windows. Ее контроллер домена проверяет ее подлинность и создает билет Kerberos с набором идентификаторов безопасности (SID) в нем. Эти идентификаторы безопасности представляют пользовательскую учетную запись Алисы и группы доменов, участником которых она является. Идентификаторы безопасности внедряются в билет с подписью от контроллера домена. В терминах удостоверений "издатель" (контроллер домена) предоставляет субъекту (Алисе) маркер безопасности, который она может использовать для подтверждения своей личности. Когда Алиса использует сертификат, применяются такие же понятия. Сертификат — это просто другой тип маркера безопасности. В данном случае издателем является центр сертификации, а субъектом — Алиса. И билет Kerberos, и сертификат по сути являются подписанными высказываниями издателя о субъекте. Это два разных способа, которыми доверенный центр сертификации может поручиться за одного из своих субъектов. Каждое подписанное высказывание может рассматриваться как коллекция утверждений. Другими словами, когда контроллер домена подписывает список идентификаторов безопасности в билете Алисы, он делает утверждения о ее личности. Каждый идентификатор безопасности становится утверждением. Центр сертификации делает утверждения о личности Алисы, когда он подписывает ее имя и открытый ключ. Имя и открытый ключ являются примерами утверждений в сертификате.

Задачей этой новой модели удостоверений является снижение зависимости удостоверения от конкретного типа учетных данных без снижения безопасности приложений. Обращаясь в коде к модели удостоверений SharePoint Server 2010, можно обрабатывать личность делегата без билетов Kerberos, а также обрабатывать маркеры SAML. Это открывает возможности для некоторых интересных архитектур удостоверений, включая федеративные удостоверения.

См. также

Концепции

Приступая к работе с безопасностью и моделью идентификации на основе заявок

Обзор и основные понятия модели идентификации на основе утверждений