SharePoint 中基于声明的标识
获悉 SharePoint 中基于声明的标识体系结构的基础。
基于声明的身份验证
通过基于声明的身份验证,系统和应用程序只需用户公开必要的个人信息(如身份证号和出生日期)即可对用户进行身份验证。 基于声明的身份验证的一个示例是某人声明已满 18 岁或者某人声明自己属于公司的市场营销部门。 外部系统(信赖方)只需信任可以验证这些声明的身份验证机构,即可允许对用户进行身份验证以许可用户使用特定功能。
声明:有关使用者的一组信息
考虑声明的最佳方式是将声明作为有关某一使用者的一组信息。 此使用者通常是指个人,但也可以是应用程序、计算机或其他实体。 通过网络传输标识时,它由某种类型的令牌(也称为安全令牌)表示。
声明是一组有关声明对使用者断言的该使用者的信息。 它是有关使用者的姓名等陈述,它由某一使用者针对自身或针对另一使用者而创造。 您可以将声明视作电子邮件地址、姓名、年龄或销售角色中的成员身份等标识信息。 它是表示特定用户、应用程序、计算机或其他实体的唯一标识符。 通过它无需多次输入凭据,相关实体即可获得多种资源(如应用程序和网络资源)的访问权限。 它还使得这些资源可以验证来自某实体的请求。 应用程序接收的声明越多,您了解的用户的情况越多。
声明将获得一个或多个值,然后打包到由 安全令牌服务 (STS) 颁发的安全令牌中。
由于传递方法的原因,使用“声明”一词,而不是在企业目录世界中更常用的单词attributes。 在此模型中,应用程序不会在目录中查找用户属性。 相反,用户向应用程序传递声明。 每个声明都由颁发者提出,你只信任该声明,就像信任颁发者一样多。 例如,你对公司域控制器的声明比用户所做的声明更信任。 声明 API 具有颁发者属性,使你能够找出颁发声明的人员。
令牌:有关标记的信息
令牌是一组表示有关标识信息的字节。 此信息由一个或多个声明组成,其中每个声明都包含有关此令牌应用的主题的一些信息。 令牌中的声明通常包含信息,例如提供令牌的用户的名称。 它们还可以包含多种类型的其他信息-声明不限于,甚至不需要包括主题的名称。 而且,正如单词声明所暗示的,接收令牌的应用程序不会自动接受它包含的信息。 相反,在应用程序使用它包含的任何声明之前,通常会以某种方式验证收到的令牌。
关键概念是声明不仅仅是标识资源、应用程序或用户的唯一标识符。 它是一组声明 (,即用于描述资源、应用程序或用户的值) 。 声明还用于授权访问。