Удостоверение на основе утверждений в SharePoint
Дата последнего изменения: 14 апреля 2010 г.
Применимо к: SharePoint Foundation 2010
В этом разделе обсуждаются основные понятия архитектуры удостоверений на основе утверждений в Microsoft SharePoint Foundation 2010 и Microsoft SharePoint Server 2010.
Проверка подлинности на основе утверждений
Проверка подлинности на основе утверждений позволяет системам и приложениям проверять подлинность пользователей, не требуя от них раскрывать больше персональных данных (таких как номер пенсионного свидетельства и дата рождения), чем требуется. Примером проверки подлинности на основе утверждений является ситуация, когда кто-то заявляет, что ему больше 18 лет или что он входит в маркетинговый отдел компании. Внешней системе (проверяющей стороне) необходимо доверять только центру проверки подлинности, который проверяет такие утверждения и предоставляет пользователям разрешения для определенных функций.
Утверждения
Проще всего рассматривать утверждения как набор данных о некотором субъекте. Этот субъект чаще всего является человеком, но может быть приложением, компьютером или кем-то другим. Когда удостоверение передается по сети, оно представлено в виде некоторого маркера (маркера безопасности).
Утверждение — это фрагмент данных о субъекте, который поставщик утверждений предъявляет об этом субъекте. Это высказывание о субъекте (например, имя), которое делается субъектом о самом себе или о другом субъекте. Утверждение можно рассматривать как элемент данных удостоверения такой, как например, адрес электронной почты, имя, возраст или принадлежность роли отдела продаж. Это уникальный идентификатор, который представляет конкретного пользователя, приложение, компьютер или другую сущность. Оно позволяет этой сущности получать доступ к различным ресурсам, таким как приложения и сетевые ресурсы, без многократного ввода учетных данных. Оно также позволяет ресурсам проверять запросы от сущностей. Чем больше утверждений получает приложение, тем больше ему известно о пользователе.
Утверждение получает одно или несколько значений и затем упаковывается в маркеры безопасности, издаваемые маркеров безопасности (STS).
Слово утверждение используется вместо слова атрибуты, которое более распространено в каталогах предприятий, из-за способа доставки. В данной модели приложение не выполняет поиск атрибутов пользователя в каталоге. Напротив, пользователь предоставляет утверждения приложению. Каждое утверждение делается издателем, и доверие к утверждению зависит от доверия к издателю. Например, утверждения, сделанные контроллером домена компании, обладают большей достоверностью, чем утверждения, сделанные пользователями. API-интерфейс утверждений имеет свойство издателя, которое позволяет определить, кто издал утверждение.
Маркеры
Маркер — это набор байтов, представляющих некоторые сведения об удостоверении. Эти данные включают одно или несколько утверждений, каждое из которых содержит некоторые сведения о субъекте, к которому относится этот маркер. Утверждения в маркере обычно содержат такие данные, как имя пользователя, предоставляющего маркер. Он также может содержать сведения многих других типов — утверждения не ограничиваются именем субъекта, и даже не обязательно должны включать его. И как подсказывает слово утверждение, приложение, получающее маркер, не принимает автоматически содержащиеся в нем сведения. Напротив, полученный маркер обычно проходит определенную проверку до того, как приложение использует какие-либо содержащиеся в нем утверждения.
Принципиальным отличием является то, что утверждение — это не просто уникальный идентификатор, определяющий ресурс, приложение или пользователя. Для описания ресурса, приложения или пользователя используется набор утверждений (то есть значений). Утверждения также используются для авторизации доступа.