Identité basée sur des revendications SharePoint
Dernière modification : mercredi 14 avril 2010
S’applique à : SharePoint Foundation 2010
Cette section présente les principes de base de l’architecture de l’identité basée sur des revendications dans Microsoft SharePoint Foundation 2010 et Microsoft SharePoint Server 2010.
Authentification basée sur les revendications
L’authentification basée sur les revendications permet aux systèmes et aux applications d’authentifier un utilisateur sans que celui-ci ait besoin de divulguer des informations personnelles (telles que le numéro de sécurité sociale et sa date de naissance) autres que celles qui sont nécessaires. Un exemple d’authentification basée sur les revendications est la situation dans laquelle une personne prétend avoir plus de 18 ans ou appartenir au groupe marketing d’une société. Un système externe (partie de confiance) a uniquement besoin d’approuver l’autorité d’authentification qui peut valider ces revendications pour autoriser l’utilisateur à être authentifié pour des fonctions spécifiques.
Revendications
Pour avoir une idée la plus claire possible de ce que sont les revendications, vous pouvez les assimiler à un ensemble d’informations relatives à un bénéficiaire. Ce bénéficiaire est le plus souvent une personne, mais cela peut également être une application, un ordinateur ou autre chose. Lorsqu’une identité est transmise sur le réseau, elle est représentée par un type de jeton (également appelé jeton de sécurité).
Une revendication est une information sur un bénéficiaire affirmée par un fournisseur de revendications relativement à ce bénéficiaire. Il s’agit d’une affirmation sur un bénéficiaire (par exemple, un nom) émise par un bénéficiaire sur lui-même ou sur un autre bénéficiaire. Vous pouvez assimiler une revendication à une information d’identité, telle que l’adresse de messagerie, le nom, l’âge ou l’appartenance au rôle de ventes. Il s’agit d’un identificateur unique qui représente un utilisateur, une application, un ordinateur ou une autre entité spécifique. Elle permet à l’entité d’accéder à plusieurs ressources, telles que des applications et des ressources réseau, sans multiplier les saisies d’informations d’identification. En outre, elle permet aux ressources de valider les demandes provenant d’une entité. Plus une application reçoit de revendications, plus vous en savez sur l’utilisateur.
Une revendication reçoit une ou plusieurs valeurs, puis est empaquetée dans des jetons de sécurité émis par un Service d’émission de jeton de sécurité (STS).
Le mot revendication est utilisé, au lieu du mot attributs plus couramment utilisé dans le monde des annuaires d’entreprise, en raison de la méthode de remise. Dans ce modèle, votre application ne recherche pas d’attributs utilisateur dans un annuaire. À la place, l’utilisateur remet les revendications à votre application. Chaque revendication est créée par un émetteur et vous n’approuvez la revendication que dans la mesure où vous approuvez l’émetteur. Par exemple, vous approuvez davantage une revendication créée par le contrôleur de domaine de votre société qu’une revendication créée par l’utilisateur. L’API de revendications possède une propriété d’émetteur qui vous permet de déterminer la personne qui a émis la revendication.
Jetons
Un jeton est un ensemble d’octets qui exprime des informations sur une identité. Ces informations se composent d’une ou de plusieurs revendications, chacune d’elles contenant certaines informations sur le bénéficiaire auquel s’applique ce jeton. Les revendications dans un jeton contiennent généralement des informations telles que le nom de l’utilisateur qui les présente. Elles peuvent également contenir de nombreuses sortes d’autres informations ; les revendications ne sont pas limitées au nom d’un bénéficiaire, ni même censées inclure celui-ci. En outre, comme le suggère le mot revendications, une application qui reçoit un jeton n’accepte pas automatiquement les informations qu’il contient. À la place, un jeton reçu fait généralement l’objet d’une validation avant qu’une application n’utilise les revendications qu’il contient.
Le concept clé est qu’une revendication n’est pas simplement un identificateur unique qui identifie la ressource, l’application ou l’utilisateur. Il s’agit d’un ensemble de revendications (c’est-à-dire, de valeurs) permettant de décrire la ressource, l’application ou l’utilisateur. Les revendications permettent également d’autoriser un accès.