基于声明的标识术语定义

表 1 包含与基于声明的标识相关的关键术语的定义。

表 1. 与基于声明的标识相关的术语的定义

术语 定义
声明
使用者对本身或另一使用者所做的陈述。 例如,陈述可能与名称、标识、密钥、组、特权或功能有关。 提供程序颁发声明并为声明提供一个或多个值,然后将声明打包到由安全令牌服务 (STS) 颁发的安全令牌中。 声明还由声明值类型和可能关联的元数据定义。
声明名称
声明类型的用户友好名称。
声明类型
声明中陈述的类型。 声明类型的示例包括名字、角色和电子邮件地址。 声明类型为声明值提供上下文,并且通常表示为统一资源标识符 (URI)。 例如,电子邮件地址声明类型表示为 http://schemas.microsoft.com/ws/2008/06/identity/claims/email
声明值
声明中的陈述值。 例如,如果声明类型为 角色,则值可能为 参与者。 如果声明类型为 名字,则值可能为 Matt
声明值类型
声明中值的类型。 例如,如果声明值为 参与者,则声明值类型为 String
声明感知应用程序
使用声明管理用户标识和访问的信赖方软件应用程序。
基于声明的标识
表示特定用户、应用程序、计算机或其他实体的唯一标识符。 通过它无需多次输入凭据,相关实体即可获得多种资源(如应用程序和网络资源)的访问权限。 它还使得这些资源可以验证来自某实体的请求。
声明提供程序
可用于在执行登录操作期间颁发一个或多个声明的软件组件或服务。 该组件或服务还可用于在卡选择器(例如,SharePoint 中的人员选取器控件)中显示、解析和提供声明搜索功能。 有关详细信息,请参阅 SharePoint 中的声明提供程序
声明提供程序架构
一种架构,指定哪些字段必须作为特定声明提供程序颁发的声明的元数据返回。
声明提供程序 - 安全令牌服务
声明提供程序用于颁发声明并将声明打包到安全令牌中的软件组件或服务。
委托
有权模拟另一客户端的富客户端。 例如,考虑以下情况:面向用户的网站 Web1 调用基础结构数据服务 Data2Web1 访问 Data2 时模拟其用户可能有很多好处。 Web1 与联合服务器联系以获取表示其用户之一的声明。 建立联系后,联合服务器可以确定 Web1 是否是授权的代理,如果是,则可以允许模拟。 如果它已获得授权,则 Web1 将充当该用户访问 Data2
身份提供程序
标识提供程序是一种类型的声明提供程序,它在组织和其他声明提供程序以及信赖方之间提供单一登录功能。
身份提供程序安全令牌服务或信赖方安全令牌服务
一个软件组件或服务,身份提供程序使用它接受来自联合伙伴的令牌,然后根据传入安全令牌的内容以信赖方可以使用的格式生成声明和安全令牌。 安全令牌服务 (STS) 接收来自受信任联合伙伴或声明提供程序 STS 的令牌。 然后,信赖方 STS 颁发新安全令牌以供本地信赖方应用程序使用。
信赖方
一种应用程序,它依赖并使用声明提供程序颁发的安全令牌中的声明。 例如,在线拍卖网站组织接收到的安全令牌可能包含用于确定使用者是否可以访问全部或部分信赖方应用程序的声明。
信赖方应用程序
可以使用声明做出身份验证和授权决策的软件。 信赖方应用程序接收来自声明提供程序的声明。
富客户端
可以使用 WS 信任协议的客户端。
SAML 被动登录
SAML 被动登录描述登录过程。 如果将 Web 应用登录配置为接受可信登录提供程序的令牌,此类登录就称为“SAML 被动登录”。 有关详细信息,请参阅 传入声明:登录到 SharePoint
安全声明标记语言 (SAML) 安全令牌
用于在声明提供程序和信赖方之间传递声明的数据格式。
安全声明标记语言 (SAML)
在 SAML 2.0 核心规范中定义的 WebSSO 协议。 SAML 协议指定如何使用 HTTP Web 浏览器重定向到交换声明数据。 SAML 用于跨安全边界对用户进行身份验证和授权。
安全令牌
声明的网络表示形式,它由声明的颁发者进行加密签名,以向所有信赖方提供有关声明完整性和颁发者身份的严格证明。
安全令牌服务 (STS)
颁发声明并将其打包到加密安全令牌中的 Web 服务。 有关详细信息,请参阅 WS-SecurityWS-Trust
信任建立
在声明提供程序和信赖方应用程序之间建立信任关系的过程。 这一过程涉及交换标识证书,以使信赖方能够信任声明提供程序颁发的声明的内容。
受信任登录提供程序
SharePoint 信任的外部(即 SharePoint 的外部)STS。
Web 单一登录 (SSO)
使合作伙伴组织能够交换用户身份验证和授权数据的过程。 通过 Web SSO,合作伙伴组织中的用户可以在安全的 Web 域之间转换,而不必在每个域边界提供凭据。
WS 联合身份验证
结构化信息标准推进组织 (OASIS) 标准规范,定义 WS 联合身份验证被动协议和用于联合身份验证的其他协议扩展。 WS 联合身份验证标准定义用于跨不同的信任领域启用标识、属性、身份验证和授权联合身份验证的机制。 有关 WS 联合的详细信息,请参阅 了解 WS 联合身份验证
被动 WS 联合身份验证
使用 HTTP Web 浏览器重定向从声明提供程序请求声明的协议。 此协议在 WS 联合身份验证 1.2 规范的第 13 节中说明。
WS 联合身份验证被动请求者配置文件
WS 联合身份验证被动请求者配置文件描述被动请求者(如 Web 浏览器)如何使用在 WS 联合身份验证中定义的跨信任领域的标识、身份验证和授权联合身份验证机制提供标识服务。 此配置文件的被动请求者仅限于 HTTP 协议。
WS 安全性
WS 安全性标准是一组协议,旨在帮助保护使用 SOAP 的 Web 服务通信。 有关 WS-Security 的详细信息,请参阅 OASIS 网站上的 OASIS Web Services Security (WSS) TC
WS 信任
使用 WS 安全性通过生成和验证信任关系的方法提供 Web 服务的标准。 有关 WS-Trust 的详细信息,请参阅 OASIS 网站上的 OASIS Web Services Secure Exchange (WS-SX) TC

另请参阅