Molnbaserad identitet
Dricks
Det här innehållet är ett utdrag från eBook, Architecting Cloud Native .NET Applications for Azure, tillgängligt på .NET Docs eller som en kostnadsfri nedladdningsbar PDF som kan läsas offline.
De flesta program måste ha viss kunskap om användaren eller processen som anropar dem. Användaren eller processen som interagerar med ett program kallas för ett säkerhetsobjekt, och processen för att autentisera och auktorisera dessa huvudnamn kallas identitetshantering eller helt enkelt identitet. Enkla program kan omfatta all identitetshantering i programmet, men den här metoden skalas inte bra med många program och många typer av säkerhetsobjekt. Windows stöder användning av Active Directory för att tillhandahålla centraliserad autentisering och auktorisering.
Även om den här lösningen är effektiv i företagsnätverk är den inte utformad för användning av användare eller program som ligger utanför AD-domänen. Med tillväxten av Internetbaserade program och ökningen av molnbaserade appar har säkerhetsmodellerna utvecklats.
I dagens molnbaserade identitetsmodell antas arkitekturen distribueras. Appar kan distribueras var som helst och kan kommunicera med andra appar var som helst. Klienter kan kommunicera med dessa appar var de än befinner sig, och i själva verket kan klienterna bestå av valfri kombination av plattformar och enheter. Molnbaserade identitetslösningar använder öppna standarder för att uppnå säker programåtkomst från klienter. Dessa klienter sträcker sig från mänskliga användare på datorer eller telefoner, till andra appar som finns var som helst online, till digitalboxar och IOT-enheter som kör alla programvaruplattformar var som helst i världen.
Moderna molnbaserade identitetslösningar använder vanligtvis åtkomsttoken som utfärdas av en säker tokentjänst/server (STS) till ett säkerhetsobjekt när deras identitet har fastställts. Åtkomsttoken, vanligtvis en JSON-webbtoken (JWT), innehåller anspråk om säkerhetsobjektet. Dessa anspråk omfattar minimalt användarens identitet, men kan även innehålla andra anspråk som kan användas av program för att fastställa åtkomstnivån för att bevilja huvudkontot.
Vanligtvis ansvarar STS bara för att autentisera huvudkontot. Att fastställa deras åtkomstnivå till resurser lämnas till andra delar av programmet.
