Anspruchsbasierte Identität: Begriffsdefinitionen
Tabelle 1 enthält Definitionen wichtiger Begriffe im Zusammenhang mit der anspruchsbasierten Identität.
Tabelle 1. Definitionen von Begriffen im Zusammenhang mit anspruchsbasierter Identität
Begriff | Definition |
---|---|
Anspruch |
Eine Aussage, die ein Subjekt über sich selbst oder ein anderes Subjekt macht. Die Aussage kann beispielsweise einen Namen, eine Identität, einen Schlüssel, eine Gruppe, eine Berechtigung oder eine Fähigkeit betreffen. Ansprüche werden von einem Anbieter ausgestellt, erhalten einen Wert oder auch mehrere Werte und werden dann in Sicherheitstoken verpackt, die von einem Sicherheitstokendienst ausgestellt werden. Sie werden außerdem von einem Anspruchswerttyp und u. U. zugehörigen Metadaten definiert. |
Anspruchsname |
Ein benutzerfreundlicher Name für den Anspruchstyp. |
Anspruchstyp |
Der Typ der Anweisung in den Anspruch. Beispiele für Anspruch, die zuerst gehören nennen, Rolle, und e-Mail-Adresse. Der Anspruchstyp wird ein Kontext zu den Anspruchswert und in der Regel als Uniform Resource Identifier (URI) ausgedrückt wird. Der Anspruchstyp der E-Mail-Adresse wird beispielsweise als http://schemas.microsoft.com/ws/2008/06/identity/claims/email dargestellt. |
Anspruchswert |
Der Wert der Anweisung in den Anspruch. Beispielsweise kann der Anspruchstyp -Rolle ist, einen Wert Mitwirkender handeln. Wenn der Forderungstyp Vorname ist, kann einen Wert Matt handeln. |
Anspruchstyp |
Der Typ des Werts im Anspruch. Wenn beispielsweise der Anspruchswert Mitwirkender lautet, ist der Anspruchstypwert String. |
Ansprüche unterstützende Anwendung |
Eine Softwareanwendung einer vertrauenden Seite, die Ansprüche zur Verwaltung der Identität und des Zugriffs für Benutzer verwendet. |
Anspruchsbasierte Identität |
Ein eindeutiger Bezeichner für einen bestimmten Benutzer, eine Anwendung, einen Computer oder eine andere Entität. Die anspruchsbasierte Identität ermöglicht der Entität den Zugriff auf mehrere Ressourcen wie Anwendungen und Netzwerkressourcen, ohne dass mehrfach die Anmeldeinformationen eingegeben werden müssen. Außerdem ermöglicht sie Ressourcen die Validierung von Anforderungen einer Entität. |
Forderungsanbieter |
Eine Softwarekomponente oder Dienst, der einen oder mehrere Ansprüche während der Anmeldung Vorgänge ausstellen verwendet werden kann. Es wird auch angezeigt, auflösen und Bereitstellen von Funktionen für die Suche nach Forderungen in einer Auswahl Karte (beispielsweise im Auswahlsteuerelement Personen in SharePoint). Weitere Informationen finden Sie unter Anspruchsanbieter in SharePoint. |
Forderungsanbieterschema |
Ein Schema, das angibt, welche Felder als Metadaten für einen Anspruch zurückgegeben werden müssen, der von einem bestimmten Forderungsanbieter ausgestellt wird. |
Forderungsanbieter - Sicherheitstokendienst |
Eine Softwarekomponente oder ein Dienst, die bzw. der von einem Forderungsanbieter genutzt wird, der Ansprüche ausstellt und in Sicherheitstoken verpackt. |
Delegat |
Ein rich-Client, der auf einem anderen Client impersonate berechtigt ist. Beispiel: haben Sie eine Situation, in der eine Website Benutzern wahrgenommenen Web1, einen Infrastruktur Datendienst Data2 aufruft. Es kann Vorteil für Web1 ihren Benutzern beim Zugriff auf Data2 Identitätswechsel sein. Web1 kontaktiert ein Verbundservers um Ansprüche zu erhalten, die einen Benutzer dar. Wenn hergestellt wurde, kann der Verbundserver festlegen, ob Web1 ist ein autorisierten Delegat, ist dies der Fall ist, sie den Identitätswechsel können. Wenn es autorisiert ist, greift Web1Data2 beim fungieren als des Benutzers auf. |
Identitätsanbieter |
Ein Identitätsanbieter ist eine Art Forderungsanbieter, die einmaliges Anmelden Funktionen zwischen einer Organisation und andere Forderungsanbieter und vertrauende Seiten bereitstellt. |
Sicherheitstokendienst für Identitätsanbieter oder vertrauende Seiten |
Eine Softwarekomponente oder ein Dienst, der von einem Identitätsanbieter verwendet wird, um Token von einem Verbundpartner zu akzeptieren und dann Ansprüche und Sicherheitstoken für den Inhalt des eingehenden Sicherheitstokens in einem Format zu generieren, das von der vertrauenden Seite verwendet werden kann. Ein Sicherheitstokendienst (Security Token Service, STS) empfängt Sicherheitstoken von einem vertrauenswürdigen Verbundpartner oder Anspruchsanbieter-STS. Anschließend gibt der STS der vertrauenden Seite neue Sicherheitstoken aus, die von einer lokalen Anwendung der vertrauenden Seite verwendet werden sollen. |
Vertrauende Seite |
Eine Anwendung, die Ansprüchen in von einem Forderungsanbieter ausgestellten Sicherheitstoken vertraut und diese verwendet. Beispielsweise könnte eine Organisation mit einer Website für Onlineauktionen ein Sicherheitstoken mit Ansprüchen empfangen, die bestimmen, ob ein Subjekt vollständig oder teilweise auf die Anwendung der vertrauenden Seite zugreifen kann. |
Anwendung der vertrauenden Seite |
Software, die Ansprüche verbrauchen kann, um Authentifizierungs- und Autorisierungsentscheidungen zu treffen. Die Anwendung der vertrauenden Seite empfängt die Ansprüche von einem Forderungsanbieter. |
Rich-Client |
Ein Client, der das WS-Trust-Protokoll verwenden kann. |
Passive SAML-Anmeldung |
SAML passiven Anmeldung beschreibt den Prozess der anmelden. Wenn die Anmeldung für eine Webanwendung konfigurationsgemäß Token von einem vertrauenswürdigen Anmeldeanbieter akzeptiert, wird dieser Anmeldungstyp als passive SAML-Anmeldung bezeichnet. Weitere Informationen finden Sie unter Eingehende Ansprüche: Anmelden bei SharePoint. |
SAML-Sicherheitstoken (Security Assertion Markup Language) |
Das Datenformat für die Kommunikation von Ansprüchen zwischen einem Forderungsanbieter und einer vertrauenden Seite. |
Security Assertion Markup Language (SAML) |
Das WebSSO-Protokoll, das in der SAML 2.0-Kernspezifikation definiert ist. Das SAML-Protokoll bestimmt, wie HTTP-Webbrowserumleitungen zum Austausch von Assertionsdaten verwendet werden. SAML dient zur Authentifizierung und Autorisierung von Benutzern über sichere Grenzen hinweg. |
Sicherheitstoken |
Eine Repräsentation von Ansprüchen über das Netzwerk, die vom Aussteller kryptografisch signiert wird und gegenüber vertrauenden Seiten als starker Nachweis für die Integrität der Ansprüche und die Identität des Ausstellers gilt. |
Sicherheitstokendienst |
Ein Webdienst, der Ansprüche ausstellt und in verschlüsselten Sicherheitstoken verpackt. Weitere Informationen finden Sie unter WS-Security und WS-Trust. |
Herstellen einer Vertrauensstellung |
Ein Prozess, mit dem Vertrauensstellungen zwischen Forderungsanbietern und Anwendungen vertrauender Seiten hergestellt werden. Dieser Prozess umfasst den Austausch von Identifizierungszertifikaten, die es der vertrauenden Seite ermöglichen, dem Inhalt von Ansprüchen zu vertrauen, die der Forderungsanbieter ausstellt. |
Vertrauenswürdiger Anmeldeanbieter |
Ein externer (nicht zu SharePoint gehörender) Sicherheitstokendienst, dem SharePoint vertraut. |
Einmalige Webanmeldung (Web-SSO) |
Ein Prozess, der zum Austauschen von Authentifizierung und Autorisierung Benutzerdaten gemeinsam Organisationen ermöglicht. Web-SSO verwenden, können Benutzer in Partnerorganisationen zwischen Domänen ohne Anmeldeinformationen an jeder Domäne Grenze präsentieren sichere Web Übergang. |
WS-Verbund |
Die Organisation für die standard Weiterentwicklung von strukturierten Informationen Standards (OASIS-)-Spezifikation, die definiert, das Passive WS-Federation-Protokoll und andere Protokoll-Erweiterungen, die für den Verbund verwendet werden. Der WS-Federation-Standard definiert Mechanismen, die als Identität, Attribut, Authentifizierung und Autorisierung in unterschiedlichen Vertrauensstellungsbereichen verbunddomäne verwendet werden. Weitere Informationen zum WS-Verbund finden Sie unter Grundlegendes zum WS-Verbund. |
Passiver WS-Verbund |
Das Protokoll zum Anfordern von Ansprüchen von einem Forderungsanbieter über HTTP-Webbrowserumleitungen. Dieses Protokoll wird in Abschnitt 13 der WS-Verbundspezifikation 1.2 beschrieben. |
WS-Verbund-PRP (Passive Requester Profile) |
Das WS-Federation Passive Requestor Profile beschreibt, wie die Vertrauenswürdigkeit Cross-Realm-Identität, Authentifizierung und Autorisierung Verbund Mechanismen, die in WS-Federation definiert sind von passiven anfordernden Personen, beispielsweise einen Webbrowser, verwendet werden können Identitätsdienste bereitstellen. Passive anfordernden Personen dieses Profils können nur das HTTP-Protokoll. |
WS-Sicherheit |
Der WS-Security Standard ist ein Satz von Protokollen, die sichere Web-Service-Kommunikation mithilfe von SOAP unterstützen. Weitere Informationen zu WS-Security finden Sie auf der OASIS-Website unter OASIS Web Services Security (WSS) TC . |
WS-Trust |
Ein Standard, der WS-Security-Webdienste mit Methoden zum Erstellen und Überprüfen von Vertrauensstellungen bereitstellen verwendet. Weitere Informationen zu WS-Trust finden Sie auf der OASIS-Website unter OASIS Web Services Secure Exchange (WS-SX) TC . |