Erklären Sie die "anspruchsbasierte Authentifizierung" für einen 5-Jährigen

Gut, nicht gerade eine 5-jährige, aber bitte vermeiden Sie Schlagwort enterprisespeak, wenn möglich.

Anspruchsbasierte Authentifizierung scheint zu sein, all die Wut jetzt, aber ich konnte nicht finden eine einfache und bodenständige Erklärung, was es eigentlich ist, wie ist es Verschieden von dem, was wir jetzt haben (ich nehme an, "was wir jetzt haben" role-based authentication), was sind die Vorteile der Verwendung es, etc.

InformationsquelleAutor der Frage Anton Gogolev | 2011-07-22

  1. 188

    @Marnix hat eine ziemlich gute Antwort, aber einen Schritt entfernt von der technische Aspekt:

    Anspruchsbasierte Authentifizierung ist zu definieren, wer Sie Vertrauen, um Ihnen genaue Informationen über Identität, und immer nur mit, dass Informationen zur Verfügung gestellt. Meine (die) gehen-zum Beispiel in einer bar. Sich für einen moment vor, Sie möchten Holen Sie sich ein Bier an der bar. In der Theorie der Barkeeper sollten Sie bitten, einen Beweis für Ihr Alter. Wie wollen Sie es beweisen? Gut, eine option zu haben die Barkeeper schneiden Sie in die Hälfte und die Anzahl der Ringe, aber es könnte einige Probleme mit. Die andere option ist für Sie, schreiben Sie Ihren Geburtstag auf einem Stück Papier, auf dem der Barkeeper genehmigt oder ablehnt. Die Dritte option ist zu gehen, um die Regierung, bekommen eine ID-Karte, und dann die ID an den Barkeeper.

    Manche mögen lachen bei der Vorstellung, nur zu schreiben, Ihren Geburtstag auf einem Stück Papier, aber das ist, was passiert, wenn Sie die Authentifizierung für Benutzer innerhalb der Anwendung selbst, weil es bis auf die Barkeeper (oder Ihre Anwendung) zu Vertrauen das Stück Papier. Aber wir Vertrauen der Regierung, die Behauptung, dass der Geburtstag auf die ID gültig ist, und die ID ist für die person, die das Getränk. Für alle Absichten und Zwecke, die Barkeeper (oder der Anwendung) ist das ziemlich egal, wie die Authentifizierung ist aufgetreten, weil das Vertrauen. Der Barkeeper weiß nichts über Sie, außer Ihrem Geburtsdatum, denn das ist alles, die Barkeeper wissen muss. Nun, der Barkeeper konnte Informationen speichern, die Sie denken, ist Ihnen wichtig, wie Ihre Lieblings-Getränk, aber die Regierung kümmert sich nicht (da es nicht die maßgebliche Quelle), so dass der Barkeeper speichert diese Informationen in seiner eigenen Art und Weise.

    Den Schlüssel zum CBA ist "wer ist die maßgebliche Quelle der Identität?"

    InformationsquelleAutor der Antwort Steve

  2. 123

    (Dies ist meine persönliche Sicht auf diese, andere unterscheiden können. Bitte nach anderen Gesichtspunkten als separate Antworten.)

    Claims-basierte Identität/Authentifizierung/Autorisierung über die Trennung der Pflege von Benutzer-Berechtigungen und Benutzer-Anmeldung aus einem (web -) Anwendung, indem die Authentifizierung/Autorisierung in einem separaten (web -) service.

    So zum Beispiel, wenn ich navigieren Sie zu einem Ansprüche-fähigen web-Anwendung für die erste Zeit, es leitet mein browser auf eine 'Anmeldung' - service, welcher es vertraut. Ich werde authentifizieren, service (unter Verwendung der Windows-Authentifizierung eine Smartcard oder was auch immer), und in der Antwort sendet er ein 'token', das sendet der browser zurück auf die web-Anwendung. Nun ist die web-Anwendung prüft, ob das token ist Digital signiert von trusted logon-Dienst, und schaut sich dann die 'Ansprüche' in der token. Basiert rein auf diejenigen Ansprüche, die Anwendung entscheidet, welche Funktionalitäten dem Benutzer angeboten wird.

    Forderungen werden fast immer auch die Identität des Benutzers, oft gibt es auch die Genehmigung im Zusammenhang stehenden Forderungen ("dieser Benutzer kann anzeigen Vertrieb Daten, aber nicht aktualisieren'), und manchmal auch weitere Informationen ('Schuhgröße = 42').

    Der entscheidende Punkt ist, dass die Anwendung nicht wissen, noch darauf, wie der Benutzer authentifiziert wurde, und wie die Berechtigungen verwaltet werden: es verwendet nur die Informationen aus, die Forderungen in der signierten token zu ermitteln, wer der Benutzer ist und/oder was der Benutzer sehen dürfen oder tun, und/oder jede andere information über die Nutzer.

    (Ja, ich ' m vorausgesetzt, eine ziemlich intelligente und gut informierte 5-jährige hier. 🙂

    InformationsquelleAutor der Antwort Marnix Klooster

  3. 29

    Folgende Beispiel ist entnommen aus A Guide to Claims-Based Identity and Access Control " (2. Auflage).

    Einen sehr vertrauten Analogie ist das Authentifizierungs-Protokoll Sie Folgen jeder
    mal besuchen Sie eine Flughafen. Sie können nicht gehen Sie einfach bis zu dem Tor und
    Ihren Reisepass oder Führerschein. Stattdessen müssen Sie zuerst die
    check-in am Schalter. Hier präsentieren Sie, was der Anmeldeinformationen
    macht Sinn. Wenn du gehst, übersee, zeigen Sie Ihren Pass. Für
    Inlandsflüge, präsentieren Sie Ihren Führerschein. Nach der überprüfung
    das Bild ID passt zu Ihrem Gesicht (Authentifizierung), der agent
    sucht Ihr Flug und stellt sicher, dass Sie bezahlt haben, für ein ticket
    (Genehmigung). Vorausgesetzt, alles ist in Ordnung, erhalten Sie eine Bordkarte
    Sie nehmen das Tor.

    Einen Bordkarte ist sehr informativ. Tor
    - Agenten wissen, dass Ihr name und frequent flyer-Nummer (Authentifizierung und
    Personalisierung), Ihre Flugnummer und Sitzgelegenheiten Priorität
    (Berechtigung), und vielleicht sogar noch mehr. Die gate-Agenten
    alles, was Sie tun müssen, um Ihre Aufgaben effizient.

    Gibt es auch
    spezielle Informationen auf der Bordkarte. Es ist kodiert in der bar
    code und/oder der Magnetstreifen auf der Rückseite. Diese Informationen (wie
    ein Internat Seriennummer) beweist, dass der pass wurde ausgestellt von der
    airline und nicht eine Fälschung.

    Im wesentlichen die Bordkarte ist unterzeichnet
    Reihe von Forderungen, die von der Fluggesellschaft über Sie    . Es besagt, dass Sie
    an Bord einen bestimmten Flug zu einer bestimmten Zeit und sitzen in einem
    bestimmten Sitzplatz. Natürlich, die Agenten brauchen nicht zu denken, sehr tief
    über diesem. Sie werden einfach überprüfen Sie Ihre Bordkarte, Lesen Sie die Forderungen
    auf Sie, und lassen Sie Sie an Bord gehen.

    Es ist auch wichtig zu beachten, dass
    es kann mehr als eine Möglichkeit, den Erhalt der unterschriebenen Satz von Ansprüchen
    das ist Ihre Bordkarte. Sie könnten, gehen Sie zu dem Ticketschalter in der
    Flughafen, oder verwenden Sie die airline-Website und drucken Sie Ihre
    Bordkarte zu Hause. Die gate-Agenten boarding des Fluges nicht kümmern
    wie die Bordkarte erstellt wurde; Sie kümmern sich nicht, die Aussteller, die Sie
    verwendet, solange er vertrauenswürdig ist, die von der Fluggesellschaft. Sie nur darauf, dass es
    ist ein authentischer Satz von Ansprüchen, die Ihnen die Erlaubnis geben, um auf die
    Flugzeug.

    Software dieses Bündel an Forderungen genannt wird, ein security-token. Jeder
    security-token ist unterzeichnet durch die Emittentin, die es geschaffen. Eine forderungsbasierte
    Anwendung der Auffassung Benutzer authentifiziert werden, wenn Sie ein gültiges,
    signed security token von einem vertrauenswürdigen Aussteller    .

    InformationsquelleAutor der Antwort Maria Ines Parnisari

  4. 18

    Für eine 5 Jahre junge, bitten Sie ihn, zu übernehmen, trat er in eine neue Schule mit Unterzeichnung des Antrags durch seine Eltern. Nach der Genehmigung von der Schulleitung für seine Anwendung, er bekommt eine Zugangskarte enthält alle folgenden Informationen, die wir anrufen können, Sie BEHAUPTET, Sie in die Schule.

    1. NAME des JUNGEN ist BOB.
    2. NAME DER SCHULE IST MONTISSORI HIGH SCHOOL
    3. KLASSE 8. KLASSE

    Am ersten Tag von seiner Schule, während er geht in die Schule, er berührt seine Zugangskarte und die Tore geöffnet, das bedeutet, er ist BEHAUPTET worden, ALS man von der person aus der Schule. In dieser Weise ist er eine AUTHENTIFIZIERTE PERSON zu geben in der Schule.

    Nach erreichen seiner Klasse, er verwendet access card zu geben in jeder Klasse, aber am 8. Standard-Klasse Türen geöffnet, wie er Behauptete-vom 8. Standard.

    In der Schule, er ist nur BEFUGT, in seiner Klasse, wie er jetzt ist zu studieren, 8. Standard. Und wenn er versuchen zu geben, in 6 Standard, die Lehrerin NICHT GENEHMIGEN ihn.

    InformationsquelleAutor der Antwort smiles1

  5. 5

    Wenn man bedenkt, dass ein Anspruch ist ein Attribut, das sagt etwas über den Benutzer (name, Alter, ethnischer Zugehörigkeit, etc) Sie arbeiten gegen einen security token service, um zu überprüfen, diese Ansprüche und auch benutzte Sie für die Genehmigung abgesehen von der Authentifizierung.

    Folgende Auszug stammt aus Wikipedia (http://en.wikipedia.org/wiki/Claims-based_identity) und das war die beste Analogie, die ich bisher gefunden

    "Um besser zu verstehen, das Konzept der security token service, betrachten die Analogie von einem Nacht-club mit einem Türsteher. Der Türsteher will verhindern, dass unter-Alter Gönner aus dem Eintrag. Um dies zu erleichtern, fordert er einen Mäzen zu präsentieren, einen Führerschein, Krankenversicherungskarte oder eine andere Identifikation (das token), ausgestellt von einer vertrauenswürdigen Dritten Partei (security token service) wie der Provinz oder des Staates Fahrzeug Lizenz-Abteilung, Abteilung Gesundheit oder Versicherung. Der Nachtclub ist so gelindert von der Verantwortung der Bestimmung der patron Alter. Es muss nur Vertrauen in die ausstellende Behörde (und natürlich sein eigenes Urteil über die Authentizität des Tokens dargestellt). Mit diesen beiden Schritten vollendet die Diskothek hat sich erfolgreich authentifiziert den Benutzer mit Bezug auf die Behauptung, dass er oder Sie ist, die das gesetzliche Mindestalter.

    Fortsetzung der Analogie, der Nachtclub kann eine Mitgliedschaft system, und bestimmte Mitglieder können regelmäßig oder VIP. Die Türsteher Fragen sich vielleicht für ein anderes token, die Mitgliedskarte, die einen anderen Anspruch; dem Mitglied ist ein VIP. In diesem Fall ist der Vertrauenswürdige ausstellende Behörde des token wäre wahrscheinlich der Verein selbst. Wenn die Mitgliedskarte macht die Behauptung, dass der patron ist ein VIP, dann kann der club reagieren entsprechend, übersetzen Sie die authentifizierten VIP-Mitgliedschaft Anspruch auf eine Genehmigung, wie der patron erlaubt zu sitzen in der exklusiven lounge-Bereich und serviert Kostenlose Getränke."

    InformationsquelleAutor der Antwort Paleta

  6. 4

    Als nicht-technische wie möglich:

    Wenn Euch das zu beschreiben, etwas darüber, wer Sie sind und was Sie sehen dürfen oder tun, können alle diese Dinge wären etwas, was Sie "fordern", um wahr zu sein, und so ist jedes "Ding" auf dieser Liste wäre eine "Behauptung".

    Wann immer Sie jemandem sagen, etwas über sich selbst oder "behaupten", dass Sie erlaubt sind, um zu sehen, oder etwas tun, Sie hand, die Sie Ihrer Liste von Forderungen. Sie wird prüfen, mit einer Autorität, dass Sie Ihre Ansprüche wahr sind und wenn Sie sind, Sie werden alles glauben, was auf dieser Liste von Forderungen. Also, wenn du behauptest, du bist Brad Pitt, Ihre Liste von Kreditforderungen, die sagt, dass Sie Brad Pitt, und es wurde überprüft, mit der Befugnis, Ihre Ansprüche wahr sind -- dann werden Sie glauben, dass Sie Brad Pitt zusammen mit allem, was sonst noch in dieser Liste.

    Anspruch: was Sie behaupten, wahr zu sein. Dies kann eine information oder eine Beschreibung einer Berechtigung, die Sie behauptet zu haben. Das system, zu dem Sie Ihre Ansprüche nur brauchen, um zu verstehen, was die Behauptung ist/bedeutet und auch in der Lage sein zu überprüfen, mit der Autorität.

    Behörde: Das system stellt Ihre Liste von Forderungen zusammen, und Zeichen, die im Grunde sagt, "Auf meine Behörde, alles in dieser Liste ist wahr." So lange, wie das system das Lesen der Forderungen überprüfen kann mit der Behörde, dass die Signatur korrekt ist, dann ist alles in die Liste der Forderungen, werden als authentisch und wahr.

    InformationsquelleAutor der Antwort Sinaesthetic

Schreibe einen Kommentar