Identité basée sur des revendications dans SharePoint
Découvrez les principes de base de l’architecture d’identité basée sur les revendications dans SharePoint.
Authentification basée sur les revendications
Authentification basée sur les revendications permet de systèmes et des applications pour authentifier un utilisateur sans nécessiter l'utilisateur de communiquer plus d'informations personnelles (tels que le numéro de sécurité sociale et la date de naissance) que nécessaire. Un exemple d'authentification basée sur les revendications est une personne qui prétend être plus 18 ans ou la personne qui prétend être dans le groupe marketing d'une société. Un système externe (partie de confiance) doit uniquement faire confiance à l'autorité de l'authentification qui valident les revendications pour autoriser l'utilisateur à être authentifié pour des fonctions spécifiques.
Revendications : ensemble d’informations sur un sujet
Le moyen plus évident pense sur les revendications est comme un ensemble d'informations sur certains sujet. Cet objet n'est plus souvent une personne, mais il peut également être une application, un ordinateur ou autre chose. Lors de la propriété identity est transmis sur le réseau, il est représenté par un type de jeton (également connu sous un jeton de sécurité).
Une revendication est une information sur l'objet un fournisseur de revendications déclare sur ce sujet. Il est une instruction un sujet (par exemple, un nom) qui est effectué par un objet sur lui-même ou un autre objet. Vous pouvez considérer une revendication comme un peu d'informations d'identité, comme adresse de messagerie, nom, l'âge ou appartenance au rôle vente. Il est un identificateur unique qui représente un utilisateur spécifique, application, ordinateur ou une autre entité. Il permet de cette entité accéder à plusieurs ressources, telles que les applications et les ressources du réseau, sans entrer les informations d'identification de plusieurs fois. Il permet également de ressources valider des demandes à partir d'une entité. Plus de revendications qu'une application reçoit, plus vous savez sur votre nom d'utilisateur.
Une revendication est attribuée une ou plusieurs valeurs et puis empaquetée dans les jetons de sécurité qui sont émis par une service d'émission de jeton de sécurité (STS).
Le mot de revendication est utilisé, plutôt que motattributs qui sont plus communément utilisées dans le monde annuaire d'entreprise, en raison de la méthode de livraison. Dans ce modèle, votre application ne recherche pas les attributs utilisateur dans un répertoire. Au lieu de cela, l'utilisateur fournit des revendications à votre application. Chaque déclaration est réalisée par un émetteur et vous approuvez la revendication uniquement autant que vous faites confiance l'émetteur. Par exemple, vous approuvez une revendication effectuée par contrôleur de domaine de votre société plus à une demande effectuée par l'utilisateur. L'API de revendications a une propriété de l'émetteur qui vous permet d'en savoir qui a émis les revendications.
Jetons : informations sur une identité
Un jeton est un ensemble d'octets qui représente les informations sur une identité. Ces informations se composent de revendications d'un ou plusieurs, chacun d'entre eux contient des informations sur l'objet auquel ce jeton s'applique. Les revendications dans un jeton couramment contiennent des informations telles que le nom de l'utilisateur qui présente. Il peuvent également contenir plusieurs sortes d'autres informations revendications êtes pas tenues et ne pas même besoin d'inclure, le nom du sujet. Et, comme le suggère le mot revendications, une application qui reçoit un jeton n’accepte pas automatiquement les informations qu’il contient. Au lieu de cela, un jeton reçu est généralement validé de manière avant d'une application utilise des revendications qu'elle contient.
Le concept clé est qu'une revendication n'est pas simplement un identificateur unique qui identifie la ressource, une application ou utilisateur. Il est un ensemble de revendications (autrement dit, les valeurs) qui est utilisé pour décrire la ressource, une application ou utilisateur. Les revendications sont également utilisées pour autoriser l'accès.