Erklären Sie die "anspruchsbasierte Authentifizierung" für einen 5-Jährigen
Gut, nicht gerade eine 5-jährige, aber bitte vermeiden Sie Schlagwort enterprisespeak, wenn möglich.
Anspruchsbasierte Authentifizierung scheint zu sein, all die Wut jetzt, aber ich konnte nicht finden eine einfache und bodenständige Erklärung, was es eigentlich ist, wie ist es Verschieden von dem, was wir jetzt haben (ich nehme an, "was wir jetzt haben" role-based authentication), was sind die Vorteile der Verwendung es, etc.
InformationsquelleAutor der Frage Anton Gogolev | 2011-07-22
Du musst angemeldet sein, um einen Kommentar abzugeben.
@Marnix hat eine ziemlich gute Antwort, aber einen Schritt entfernt von der technische Aspekt:
Anspruchsbasierte Authentifizierung ist zu definieren, wer Sie Vertrauen, um Ihnen genaue Informationen über Identität, und immer nur mit, dass Informationen zur Verfügung gestellt. Meine (die) gehen-zum Beispiel in einer bar. Sich für einen moment vor, Sie möchten Holen Sie sich ein Bier an der bar. In der Theorie der Barkeeper sollten Sie bitten, einen Beweis für Ihr Alter. Wie wollen Sie es beweisen? Gut, eine option zu haben die Barkeeper schneiden Sie in die Hälfte und die Anzahl der Ringe, aber es könnte einige Probleme mit. Die andere option ist für Sie, schreiben Sie Ihren Geburtstag auf einem Stück Papier, auf dem der Barkeeper genehmigt oder ablehnt. Die Dritte option ist zu gehen, um die Regierung, bekommen eine ID-Karte, und dann die ID an den Barkeeper.
Manche mögen lachen bei der Vorstellung, nur zu schreiben, Ihren Geburtstag auf einem Stück Papier, aber das ist, was passiert, wenn Sie die Authentifizierung für Benutzer innerhalb der Anwendung selbst, weil es bis auf die Barkeeper (oder Ihre Anwendung) zu Vertrauen das Stück Papier. Aber wir Vertrauen der Regierung, die Behauptung, dass der Geburtstag auf die ID gültig ist, und die ID ist für die person, die das Getränk. Für alle Absichten und Zwecke, die Barkeeper (oder der Anwendung) ist das ziemlich egal, wie die Authentifizierung ist aufgetreten, weil das Vertrauen. Der Barkeeper weiß nichts über Sie, außer Ihrem Geburtsdatum, denn das ist alles, die Barkeeper wissen muss. Nun, der Barkeeper konnte Informationen speichern, die Sie denken, ist Ihnen wichtig, wie Ihre Lieblings-Getränk, aber die Regierung kümmert sich nicht (da es nicht die maßgebliche Quelle), so dass der Barkeeper speichert diese Informationen in seiner eigenen Art und Weise.
Den Schlüssel zum CBA ist "wer ist die maßgebliche Quelle der Identität?"
InformationsquelleAutor der Antwort Steve
(Dies ist meine persönliche Sicht auf diese, andere unterscheiden können. Bitte nach anderen Gesichtspunkten als separate Antworten.)
Claims-basierte Identität/Authentifizierung/Autorisierung über die Trennung der Pflege von Benutzer-Berechtigungen und Benutzer-Anmeldung aus einem (web -) Anwendung, indem die Authentifizierung/Autorisierung in einem separaten (web -) service.
So zum Beispiel, wenn ich navigieren Sie zu einem Ansprüche-fähigen web-Anwendung für die erste Zeit, es leitet mein browser auf eine 'Anmeldung' - service, welcher es vertraut. Ich werde authentifizieren, service (unter Verwendung der Windows-Authentifizierung eine Smartcard oder was auch immer), und in der Antwort sendet er ein 'token', das sendet der browser zurück auf die web-Anwendung. Nun ist die web-Anwendung prüft, ob das token ist Digital signiert von trusted logon-Dienst, und schaut sich dann die 'Ansprüche' in der token. Basiert rein auf diejenigen Ansprüche, die Anwendung entscheidet, welche Funktionalitäten dem Benutzer angeboten wird.
Forderungen werden fast immer auch die Identität des Benutzers, oft gibt es auch die Genehmigung im Zusammenhang stehenden Forderungen ("dieser Benutzer kann anzeigen Vertrieb Daten, aber nicht aktualisieren'), und manchmal auch weitere Informationen ('Schuhgröße = 42').
Der entscheidende Punkt ist, dass die Anwendung nicht wissen, noch darauf, wie der Benutzer authentifiziert wurde, und wie die Berechtigungen verwaltet werden: es verwendet nur die Informationen aus, die Forderungen in der signierten token zu ermitteln, wer der Benutzer ist und/oder was der Benutzer sehen dürfen oder tun, und/oder jede andere information über die Nutzer.
(Ja, ich ' m vorausgesetzt, eine ziemlich intelligente und gut informierte 5-jährige hier. 🙂
InformationsquelleAutor der Antwort Marnix Klooster
Folgende Beispiel ist entnommen aus A Guide to Claims-Based Identity and Access Control " (2. Auflage).
InformationsquelleAutor der Antwort Maria Ines Parnisari
Für eine 5 Jahre junge, bitten Sie ihn, zu übernehmen, trat er in eine neue Schule mit Unterzeichnung des Antrags durch seine Eltern. Nach der Genehmigung von der Schulleitung für seine Anwendung, er bekommt eine Zugangskarte enthält alle folgenden Informationen, die wir anrufen können, Sie BEHAUPTET, Sie in die Schule.
Am ersten Tag von seiner Schule, während er geht in die Schule, er berührt seine Zugangskarte und die Tore geöffnet, das bedeutet, er ist BEHAUPTET worden, ALS man von der person aus der Schule. In dieser Weise ist er eine AUTHENTIFIZIERTE PERSON zu geben in der Schule.
Nach erreichen seiner Klasse, er verwendet access card zu geben in jeder Klasse, aber am 8. Standard-Klasse Türen geöffnet, wie er Behauptete-vom 8. Standard.
In der Schule, er ist nur BEFUGT, in seiner Klasse, wie er jetzt ist zu studieren, 8. Standard. Und wenn er versuchen zu geben, in 6 Standard, die Lehrerin NICHT GENEHMIGEN ihn.
InformationsquelleAutor der Antwort smiles1
Wenn man bedenkt, dass ein Anspruch ist ein Attribut, das sagt etwas über den Benutzer (name, Alter, ethnischer Zugehörigkeit, etc) Sie arbeiten gegen einen security token service, um zu überprüfen, diese Ansprüche und auch benutzte Sie für die Genehmigung abgesehen von der Authentifizierung.
Folgende Auszug stammt aus Wikipedia (http://en.wikipedia.org/wiki/Claims-based_identity) und das war die beste Analogie, die ich bisher gefunden
"Um besser zu verstehen, das Konzept der security token service, betrachten die Analogie von einem Nacht-club mit einem Türsteher. Der Türsteher will verhindern, dass unter-Alter Gönner aus dem Eintrag. Um dies zu erleichtern, fordert er einen Mäzen zu präsentieren, einen Führerschein, Krankenversicherungskarte oder eine andere Identifikation (das token), ausgestellt von einer vertrauenswürdigen Dritten Partei (security token service) wie der Provinz oder des Staates Fahrzeug Lizenz-Abteilung, Abteilung Gesundheit oder Versicherung. Der Nachtclub ist so gelindert von der Verantwortung der Bestimmung der patron Alter. Es muss nur Vertrauen in die ausstellende Behörde (und natürlich sein eigenes Urteil über die Authentizität des Tokens dargestellt). Mit diesen beiden Schritten vollendet die Diskothek hat sich erfolgreich authentifiziert den Benutzer mit Bezug auf die Behauptung, dass er oder Sie ist, die das gesetzliche Mindestalter.
Fortsetzung der Analogie, der Nachtclub kann eine Mitgliedschaft system, und bestimmte Mitglieder können regelmäßig oder VIP. Die Türsteher Fragen sich vielleicht für ein anderes token, die Mitgliedskarte, die einen anderen Anspruch; dem Mitglied ist ein VIP. In diesem Fall ist der Vertrauenswürdige ausstellende Behörde des token wäre wahrscheinlich der Verein selbst. Wenn die Mitgliedskarte macht die Behauptung, dass der patron ist ein VIP, dann kann der club reagieren entsprechend, übersetzen Sie die authentifizierten VIP-Mitgliedschaft Anspruch auf eine Genehmigung, wie der patron erlaubt zu sitzen in der exklusiven lounge-Bereich und serviert Kostenlose Getränke."
InformationsquelleAutor der Antwort Paleta
Als nicht-technische wie möglich:
Wenn Euch das zu beschreiben, etwas darüber, wer Sie sind und was Sie sehen dürfen oder tun, können alle diese Dinge wären etwas, was Sie "fordern", um wahr zu sein, und so ist jedes "Ding" auf dieser Liste wäre eine "Behauptung".
Wann immer Sie jemandem sagen, etwas über sich selbst oder "behaupten", dass Sie erlaubt sind, um zu sehen, oder etwas tun, Sie hand, die Sie Ihrer Liste von Forderungen. Sie wird prüfen, mit einer Autorität, dass Sie Ihre Ansprüche wahr sind und wenn Sie sind, Sie werden alles glauben, was auf dieser Liste von Forderungen. Also, wenn du behauptest, du bist Brad Pitt, Ihre Liste von Kreditforderungen, die sagt, dass Sie Brad Pitt, und es wurde überprüft, mit der Befugnis, Ihre Ansprüche wahr sind -- dann werden Sie glauben, dass Sie Brad Pitt zusammen mit allem, was sonst noch in dieser Liste.
Anspruch: was Sie behaupten, wahr zu sein. Dies kann eine information oder eine Beschreibung einer Berechtigung, die Sie behauptet zu haben. Das system, zu dem Sie Ihre Ansprüche nur brauchen, um zu verstehen, was die Behauptung ist/bedeutet und auch in der Lage sein zu überprüfen, mit der Autorität.
Behörde: Das system stellt Ihre Liste von Forderungen zusammen, und Zeichen, die im Grunde sagt, "Auf meine Behörde, alles in dieser Liste ist wahr." So lange, wie das system das Lesen der Forderungen überprüfen kann mit der Behörde, dass die Signatur korrekt ist, dann ist alles in die Liste der Forderungen, werden als authentisch und wahr.
InformationsquelleAutor der Antwort Sinaesthetic