Claims-based_identity
クレームベースのIDは、アプリケーションが組織内、他の組織、およびインターネット上のユーザーについて必要なID情報を取得するための一般的な方法です。また、オンプレミスまたはクラウドで実行されているアプリケーションに一貫したアプローチを提供します。クレームベースのIDは、IDとアクセス制御の個々の要素を2つの部分に抽象化します。クレームの概念と、発行者または権限の概念です。
コンテンツ
1 アイデンティティと主張
2 セキュリティトークンサービス
3 利点
4 も参照してください
5 参考文献
アイデンティティと主張
クレームとは、個人や組織などの1つの主題が、それ自体または別の主題について行うステートメントです。たとえば、ステートメントは、名前、グループ、購入の好み、民族性、特権、協会、または能力に関するものにすることができます。1つまたは複数のクレームを行うサブジェクトはプロバイダーです。クレームは1つ以上のトークンにパッケージ化され、発行者(プロバイダー)によって発行されます。これは一般にセキュリティトークンサービス(STS)と呼ばれます。
「クレームベースのアイデンティティ」という名前は、誤った名前のように見えるため、最初は混乱する可能性がクレームの概念をIDの概念に付加することは、認証(IDの決定)と承認(識別されたサブジェクトが実行できることと実行できないこと)を組み合わせているように見えます。ただし、詳しく調べると、そうではないことがわかります。主張は、対象ができることとできないことではありません。それらは主題が何であるか、そうでないかです。is / isクレームをアプリケーションのmay / may notルールにマッピングするのは、着信クレームを受信するアプリケーション次第です。従来のシステムでは、ユーザーが何をしているのか、何をしていないのか、何をしているのか、していないのかについて、多くの場合、相違点と類似点について混乱がクレームベースのアイデンティティは、その区別を明確にします。
セキュリティトークンサービス
セキュリティトークンサービス
ユーザーが何であるか、何をしていないか、何をしてはいけないかが明確になると、第三者がユーザーの認証(クレーム)を処理できるようになります。このサードパーティは、セキュリティトークンサービスと呼ばれます。セキュリティトークンサービスの概念をよりよく理解するために、ドアマンがいるナイトクラブの例えを考えてみましょう。ドアマンは、未成年の常連客の立ち入りを防ぎたいと考えています。これを容易にするために、彼は運転免許証、健康保険証、または州または州の車両免許部門、健康部門などの信頼できる第三者(セキュリティトークンサービス)によって発行されたその他の身分証明書(トークン)を提示するように常連客に要求しますまたは保険会社。したがって、ナイトクラブは、常連客の年齢を決定する責任から解放されます。発行機関を信頼するだけで済みます(もちろん、提示されたトークンの信憑性については独自の判断を下します)。これらの2つのステップが完了すると、ナイトクラブは、彼または彼女が合法的な飲酒年齢であるという主張に関して、常連客を正常に認証しました。
例えを続けると、ナイトクラブには会員制があり、特定の会員は通常またはVIPである可能性がドアマンは別のトークン、メンバーシップカードを要求する可能性があり、それは別の主張をする可能性がメンバーがVIPであること。この場合、トークンの信頼できる発行機関はおそらくクラブ自体です。メンバーシップカードが利用者がVIPであると主張する場合、クラブはそれに応じて対応し、認証されたVIPメンバーシップの主張を、利用者が専用ラウンジエリアに座って無料の飲み物を提供することを許可されるなどの許可に変換できます。
「認証」という用語のすべての使用にクレームの取得が含まれるわけではないことに注意して唯一の違いは、認証を完了するために属性データ(クレーム)が必要ないため、認証がターゲットサイトのユーザーに関する情報へのユーザーのバインドに制限されることです。プライバシーの懸念がより重要になるにつれて、個人属性にアクセスせずにユーザーを認証するデジタルエンティティの機能がますます重要になります。
利点
クレームベースのIDは、個々のソフトウェアアプリケーションの認証ロジックを簡素化する可能性がこれらのアプリケーションは、アカウントの作成、パスワードの作成、リセットなどのメカニズムを提供する必要がないためです。さらに、クレームベースのIDにより、アプリケーションは、ユーザーに問い合わせてそれらの事実を判断することなく、ユーザーに関する特定のことを知ることができます。事実または主張は、安全なトークンと呼ばれる「封筒」で転送されます。
クレームベースのIDは、ユーザーが複数のアプリケーションに複数回サインインする必要がないため、認証プロセスを大幅に簡素化できます。シングルサインオンでトークンが作成され、複数のアプリケーションまたはWebサイトに対して認証するために使用されます。さらに、特定のファクト(クレーム)がトークンにパッケージ化されているため、ユーザーは、たとえば同様の質問に答えたり、同様のフォームに記入したりすることによって、個々のアプリケーションにそれらのファクトを繰り返し伝える必要はありません。
も参照してください
アクセス制御サービス
ID管理
セキュリティトークン
参考文献
^ David Chappell。「Windows用のクレームベースのアイデンティティ」 (PDF)。MicrosoftCorporation 。
^ Microsoft
「クレームベースのIDおよびアクセス制御ガイドのドキュメント」。MicrosoftCorporation 。
^ IDESG。「アイデンティティモデル」。