Удостоверение, основанное на утверждениях и концепций в SharePoint

Модели удостоверений на основе утверждений

При создании утверждения приложения пользователь представляет удостоверения для приложения как набор утверждений. Имя пользователя может иметь одно утверждение, другой может быть адресом электронной почты. В данном случае, что в системе внешних идентификаторов настроены для вашего приложения все сведения, необходимые о пользователя при каждом запросе, а также шифрования учетных данных, получаемых приложением, поступающие из надежного источника Software assurance.

С этой моделью проще обеспечить единый вход и освободить ваше приложение от выполнения таких задач, как:

• проверка подлинности пользователей;

• хранение пользовательских учетных записей и паролей;

• обращение в каталог предприятия для поиска данных об удостоверении пользователя;

• интеграция с системами удостоверений других платформ и компаний.

В этой модели приложение устанавливает связанные с идентификатором решения на основе заявок, предоставленные пользователем. Это может быть что-либо из личной настройки простое приложение с имя пользователя, для авторизации пользователя для доступа к выше функций значение и ресурсов в приложении.

В следующих разделах представлены термины и понятия, которые помогут вам понять архитектура удостоверение, основанное на утверждениях.

Удостоверение: Набор атрибутов, определяющих сущности

IDENTITY — это набор атрибутов, определяющих пользователем или другой сущности, в систему, которая требуется для обеспечения безопасности.

Утверждение: Часть сведений об удостоверениях

Представьте утверждения как часть сведений об удостоверениях (например, имя, адрес электронной почты, срок хранения в или членство в роли продаж). Приложение получает дополнительные утверждения, тем больше вы знаете о пользователя. Они называются «утверждений» вместо "атрибуты", как обычно используется при описании каталогов предприятия, из-за метода доставки. В этой модели приложение не выполнять поиск атрибутов пользователя в каталоге. Вместо этого пользователь посылает утверждения для приложения, и приложение проверяет их. Каждый утверждения осуществляется поставщика и в утверждения только так же, как вы доверяете поставщика. Например доверять утверждения, сделанных с контроллера домена вашей компании, больше, чем вы доверяете утверждения, сделанные пользователем.

Маркер безопасности: сериализованных набор утверждений

Пользователь предоставляет набор утверждений в приложение с запросом. В веб-службе этих утверждений переносятся в заголовке безопасности конверте SOAP. В браузере веб-приложения утверждений браузер пользователя, поставляемых через HTTP POST и более поздних версий могут кэшироваться в файле cookie, при желании сеанса. Независимо от того, как эти утверждений поступают должен быть сериализованным. Маркер безопасности — это сериализованных набор утверждений цифровой подписью, выдан. Подпись важно: дает Software assurance пользователя не только составляют утверждений и отправлять их для вас. В случаях низким уровнем безопасности криптографии нет необходимости, можно использовать неподписанные маркеры, когда этого сценария не описанных в этой статье.

Один из основных компонентов в Windows Identity Foundation (WIF) является возможность создания и чтения маркеров безопасности. WIF Microsoft .NET Framework обрабатывать все действия, шифрования и представить приложения с набором утверждения, которые могут читать.

Служба маркеров безопасности (STS)

Служба маркеров безопасности (STS) — это коммуникации, обеспечивающая, знаки и маркеров безопасности проблемы в соответствии с взаимодействующие протоколы, описанные в разделе "Стандарты" в этой статье. Существует много работы, входящий в реализации этих протоколов, но WIF делает все это работать за вас, что делает возможным для тех, кто не является протоколы под руководством экспертов, чтобы получить STS регистрация и запуск с минимальными усилиями.

WIF упрощает создание собственных STS. Это необходимо решить, как реализовать логику или правил, обеспечивающие ее (часто называется политика безопасности).

Инстанцию

Существует множество различных типов сертификатов, из контроллеров домена, выдача билетов Kerberos центрам сертификации, которые выдают сертификаты X.509. Конкретный тип центра сертификации, обсуждаемые в этой статье проблем маркеров безопасности, которые содержат утверждений. В этом сертификации — это веб-приложения или веб-службе, маркеры безопасности. Необходимо иметь возможность выдачи соответствующих прав утверждений, присвоенное конечного, проверяющей стороной и пользователя, отправившего запрос и может быть отвечает за взаимодействия с хранилищ пользователей для поиска утверждений и проверки подлинности пользователей.

Любые сертификации выбран, он центральной роли в решении удостоверения. Если проверка подлинности принимать из приложения, опираясь на основе утверждений, передача ответственности в эту службу и попросите его для проверки подлинности пользователей от вашего имени.

Проверяющей стороны

При создании приложения, основанный на утверждениях построении проверяющей стороной приложения. Синонимы для проверяющей стороны включают «утверждения приложением» и «приложения на основе утверждений». Веб-приложений и веб-службы могут быть проверяющими сторонами.

Проверяющая сторона приложение использует маркеры, выданные STS и извлекает утверждений из маркеров их использования для удостоверения задач, связанных с. Службы маркеров безопасности поддерживает два типа проверяющей стороне приложения: ASP.NET веб-приложений и Windows Communication Foundation (WCF) веб-службы.

Стандарты

Чтобы сделать все это взаимодействующие, несколько WS-* стандартов в предыдущем сценарии. Получить политику с помощью WS-MetadataExchange и сама политика является структурированной спецификации WS-Policy. Службы маркеров безопасности предоставляет конечные точки, которые реализуют спецификация WS-Trust, который описывает, как для запроса и получения маркеров безопасности. Большинство маркер безопасности служб маркеры today проблему, отформатированный с помощью разметки языка SAML (Security Assertion). SAML является отрасли словарь в XML, который может использоваться для представления утверждений функциональную совместимость. Или, в случае multiplatform это позволяет общаться с STS на совершенно другой платформы и обеспечения единого входа для всех приложений, независимо от платформы.

Веб-приложения

Смарт-клиенты не только те, которые можно использовать модель идентификации на основе утверждений. Веб-приложения (также называется пассивной клиентов) также можно использовать его. В следующем сценарии описывается, как это работает.

Во-первых пользователь наводит браузера на веб-приложения (проверяющей стороной приложение). Веб-приложения, перенаправляет браузер для службы маркеров безопасности, чтобы проверка подлинности пользователя. Службы маркеров безопасности размещается в простой веб-приложения, которое считывает входящего запроса, выполняет проверку подлинности пользователя с помощью стандартных механизмов HTTP и создает маркер SAML и возвращает фрагмент кода ECMAScript (JavaScript, JScript), браузер для инициации HTTP POST, который отправляет маркер SAML проверяющей стороной. Основная часть этой записи содержит утверждения, которые запрошено проверяющей стороной. На этом этапе чаще всего для проверяющей стороны упаковка утверждений в файле cookie, чтобы пользователь не имеет для перенаправления для каждого запроса.

Служба c2WTS

Служба c2WTS — это компонент Windows Identity Foundation (WIF). c2WTS извлекает утверждения имени участника-пользователя (UPN) из маркеров безопасности, отличных от Windows, например, маркеров SAML и X.509, и создает маркеры безопасности Windows уровня олицетворения. Это позволяет приложению проверяющей стороны олицетворять пользователя. Это может потребоваться для доступа к серверным ресурсам, например, ресурсам Microsoft SQL Server, которые являются внешними по отношению к приложению проверяющей стороны.

c2WTS — это служба Windows, которая устанавливается как часть WIF. По соображениям безопасности c2WTS работает только на основе явного согласия пользователя. Должна быть запущена вручную и работает как учетная запись локальной системы. Администратор должен вручную настроить c2WTS со списком разрешенных абонентов. По умолчанию список пуст.

Если приложение проверяющей стороной работает как учетная запись локальной системы, его не нужно использовать c2WTS. Однако, если приложение проверяющей стороной работает как учетная запись сетевой службы, или ASP.NET приложения, например, может потребоваться использовать c2WTS для доступа к ресурсам на другом компьютере.

Предположим, что у вас есть веб-фермы, состоящее из сервера, на котором выполняется приложение ASP.NET, который получает доступ к базе данных SQL на фоновом сервере. Требуется сделать это приложение утверждения. Однако приложение не может получить доступ к базы данных SQL с помощью утверждений, которая получает из службы маркеров безопасности. Вместо этого он использует c2WTS для преобразования утверждений имени участника-пользователя с маркером безопасности Windows. Это позволяет получить доступ к базе данных SQL.

Примечание.

[!Примечание] Чтобы разрешить приложению доступ к ресурсам на другом сервере, администратор домена необходимо настроить службы каталогов Active Directory, чтобы разрешить ограниченное делегирование. Сведения о том, как включить ограниченное делегирование, см. в статье Практическое руководство. Использование перехода по протоколу и ограниченного извлечения в ASP.NET 2.0.

См. также

• Проверка подлинности, авторизация и безопасность в SharePoint

• Пример сценария делегирования, федерации и проверки подлинности в SharePoint

• Определения терминов идентификации на основе утверждений