Anspruchsbasierte Identität – Begriffsdefinitionen
Letzte Änderung: Montag, 7. März 2011
Gilt für: SharePoint Foundation 2010
Tabelle 1 enthält Definitionen wichtiger Begriffe im Zusammenhang mit der anspruchsbasierten Identität.
Tabelle 1. Begriffsdefinitionen
Begriff |
Definition |
|---|---|
Anspruch |
Eine Aussage, die ein Subjekt über sich selbst oder ein anderes Subjekt macht. Die Aussage kann beispielsweise einen Namen, eine Identität, einen Schlüssel, eine Gruppe, eine Berechtigung oder eine Fähigkeit betreffen. Ansprüche werden von einem Anbieter ausgestellt, erhalten einen Wert oder auch mehrere Werte und werden dann in Sicherheitstoken verpackt, die von einem Sicherheitstokendienst ausgestellt werden. Sie werden außerdem von einem Anspruchswerttyp und u. U. zugehörigen Metadaten definiert. |
Anspruchsname |
Ein benutzerfreundlicher Name für den Anspruchstyp. |
Anspruchstyp |
Die Art der Aussage im Anspruch. Beispiele für Anspruchstypen sind Vorname, Rolle und E-Mail-Adresse. Der Anspruchstyp stellt den Kontext für den Anspruchswert bereit und wird in der Regel als URI (Uniform Resource Identifier) ausgedrückt. Beispielsweise wird der Anspruchstyp E-Mail-Adresse als https://schemas.microsoft.com/ws/2008/06/identity/claims/email dargestellt. |
Anspruchswert |
Der Wert der Aussage im Anspruch. Wenn der Anspruchstyp beispielsweise Rolle ist, wäre ein möglicher Wert Mitwirkender, während der Wert für den Anspruchstyp VornameMatthias lauten könnte. |
Anspruchstyp |
Der Typ des Werts im Anspruch. Wenn beispielsweise der Anspruchswert Mitwirkender lautet, ist der Anspruchstypwert String. |
Ansprüche unterstützende Anwendung |
Eine Softwareanwendung einer vertrauenden Seite, die Ansprüche zur Verwaltung der Identität und des Zugriffs für Benutzer verwendet. |
Anspruchsbasierte Identität |
Ein eindeutiger Bezeichner für einen bestimmten Benutzer, eine Anwendung, einen Computer oder eine andere Entität. Die anspruchsbasierte Identität ermöglicht der Entität den Zugriff auf mehrere Ressourcen wie Anwendungen und Netzwerkressourcen, ohne dass mehrfach die Anmeldeinformationen eingegeben werden müssen. Außerdem ermöglicht sie Ressourcen die Validierung von Anforderungen einer Entität. |
Forderungsanbieter |
Eine Softwarekomponente oder ein Dienst, die bzw. der zum Ausstellen von Ansprüchen während der Anmeldung, zum Anzeigen und Auflösen von Ansprüchen und zum Bereitstellen von Suchfunktionen für Ansprüche in einem Kartenselektor (beispielsweise im Personenauswahl-Steuerelement in SharePoint) verwendet werden kann. Weitere Informationen finden Sie unter Anspruchsanbieter. |
Forderungsanbieterschema |
Ein Schema, das angibt, welche Felder als Metadaten für einen Anspruch zurückgegeben werden müssen, der von einem bestimmten Forderungsanbieter ausgestellt wird. |
Forderungsanbieter – Sicherheitstokendienst |
Eine Softwarekomponente oder ein Dienst, die bzw. der von einem Forderungsanbieter genutzt wird, der Ansprüche ausstellt und in Sicherheitstoken verpackt. |
Delegat |
Ein Rich-Client, der berechtigt ist, die Identität eines anderen Clients zu übernehmen. Angenommen, die benutzergerichtete Website Web1 ruft den Infrastrukturdatendienst Data2 auf. Es könnte von Vorteil sein, dass Web1 einen Identitätswechsel vornimmt und beim Zugriff auf Data2 die Identität ihrer Benutzer annimmt. Web1 ruft von einem Verbundserver Ansprüche für einen ihrer Benutzer ab. Bei der Kontaktanforderung kann der Verbundserver feststellen, ob es sich bei Web1 um einen autorisierten Delegaten handelt, und in diesem Fall den Identitätswechsel zulassen. Bei entsprechender Berechtigung greift Web1 auf Data2 mit der Identität des Benutzers zu. |
Identitätsanbieter |
Ein Verbundanbieter ist eine Art Forderungsanbieter, der eine einmalige Anmeldung für eine Organisation und andere Forderungsanbieter und vertrauende Seiten bereitstellt. |
Sicherheitstokendienst für Identitätsanbieter oder vertrauende Seiten |
Eine Softwarekomponente oder ein Dienst, die bzw. der von einem Identitätsanbieter verwendet wird, um Token von einem Verbundpartner zu akzeptieren und anschließend Ansprüche und Sicherheitstoken für die Inhalte des eingehenden Sicherheitstokens in einem Format zu generieren, das von der vertrauenden Seite verbraucht werden kann. Ein Sicherheitstokendienst empfängt Sicherheitstoken vom Sicherheitstokendienst eines vertrauenswürdigen Verbundpartners oder Forderungsanbieters. Anschließend stellt der Sicherheitstokendienst der vertrauenden Seite neue Sicherheitstoken für eine lokale Anwendung der vertrauenden Seite aus. |
Vertrauende Seite |
Eine Anwendung, die Ansprüchen in von einem Forderungsanbieter ausgestellten Sicherheitstoken vertraut und diese verwendet. Beispielsweise könnte eine Organisation mit einer Website für Onlineauktionen ein Sicherheitstoken mit Ansprüchen empfangen, die bestimmen, ob ein Subjekt vollständig oder teilweise auf die Anwendung der vertrauenden Seite zugreifen kann. |
Anwendung der vertrauenden Seite |
Software, die Ansprüche verbrauchen kann, um Authentifizierungs- und Autorisierungsentscheidungen zu treffen. Die Anwendung der vertrauenden Seite empfängt die Ansprüche von einem Forderungsanbieter. |
Rich-Client |
Ein Client, der das WS-Trust-Protokoll verwenden kann. |
Passive SAML-Anmeldung |
Die passive SAML-Anmeldung beschreibt den Anmeldungsprozess. Wenn die Anmeldung für eine Webanwendung konfigurationsgemäß Token von einem vertrauenswürdigen Anmeldeanbieter akzeptiert, wird dieser Anmeldungstyp als passive SAML-Anmeldung bezeichnet. Weitere Informationen finden sie unter Eingehende Ansprüche: Anmelden bei SharePoint. |
SAML-Sicherheitstoken (Security Assertion Markup Language) |
Das Datenformat für die Kommunikation von Ansprüchen zwischen einem Forderungsanbieter und einer vertrauenden Seite. |
Security Assertion Markup Language (SAML) |
Das WebSSO-Protokoll, das in der SAML 2.0-Kernspezifikation definiert ist. Das SAML-Protokoll bestimmt, wie HTTP-Webbrowserumleitungen zum Austausch von Assertionsdaten verwendet werden. SAML dient zur Authentifizierung und Autorisierung von Benutzern über sichere Grenzen hinweg. |
Sicherheitstoken |
Eine Repräsentation von Ansprüchen über das Netzwerk, die vom Aussteller kryptografisch signiert wird und gegenüber vertrauenden Seiten als starker Nachweis für die Integrität der Ansprüche und die Identität des Ausstellers gilt. |
Sicherheitstokendienst |
Ein Webdienst, der Ansprüche ausstellt und in verschlüsselten Sicherheitstoken verpackt. Weitere Informationen finden Sie unter WS-Sicherheit und WS-Trust. |
Herstellen einer Vertrauensstellung |
Ein Prozess, mit dem Vertrauensstellungen zwischen Forderungsanbietern und Anwendungen vertrauender Seiten hergestellt werden. Dieser Prozess umfasst den Austausch von Identifizierungszertifikaten, die es der vertrauenden Seite ermöglichen, dem Inhalt von Ansprüchen zu vertrauen, die der Forderungsanbieter ausstellt. |
Vertrauenswürdiger Anmeldeanbieter |
Ein externer (nicht zu SharePoint gehörender) Sicherheitstokendienst, dem SharePoint vertraut. |
Einmalige Webanmeldung (Web-SSO) |
Ein Prozess, über den Partnerorganisationen Benutzerauthentifizierungs- und -autorisierungsdaten austauschen können. Mithilfe von Web-SSO können die Benutzer in Partnerorganisationen den Übergang zwischen sicheren Webdomänen bewältigen, ohne an jeder Domänengrenze Anmeldeinformationen vorlegen zu müssen. |
WS-Verbund |
Die OASIS-Standardspezifikation (Organization for the Advancement of Structured Information Standards), die das passive WS-Verbundprotokoll und andere Protokollerweiterungen für das Verbundverfahren definiert. Im WS-Verbundstandard sind Mechanismen definiert, die den Identitäts-, Attribut-, Authentifizierungs- und Autorisierungsverbund über verschiedene Vertrauensbereiche hinweg ermöglichen. Weitere Informationen zum WS-Verbund finden Sie auf der MSDN-Website unter Understanding WS-Federation. |
Passiver WS-Verbund |
Das Protokoll zum Anfordern von Ansprüchen von einem Forderungsanbieter über HTTP-Webbrowserumleitungen. Dieses Protokoll wird in Abschnitt 13 der WS-Verbundspezifikation 1.2 beschrieben. |
WS-Verbund-PRP (Passive Requester Profile) |
Das WS-Verbund-PRP (Passive Requester Profile) beschreibt, wie die vertrauensbereichsübergreifenden Identitäts-, Authentifizierungs- und Autorisierungsverbundmechanismen, die im WS-Verbund definiert sind, von passiven Anforderern wie Webbrowsern genutzt werden können, um Identitätsdienste bereitzustellen. Passive Anforderer dieses Profils sind auf HTTP beschränkt. Weitere Informationen zum WS-Verbund-PRP finden Sie in der WS-Federation: Passive Requestor Profile-Spezifikation auf der MSDN-Website. |
WS-Sicherheit |
Der WS-Sicherheitsstandard umfasst eine Reihe von Protokollen für eine sichere Webdienstkommunikation mittels SOAP. Weitere Informationen zur WS-Sicherheit finden Sie unter OASIS Web Services Security (WSS) TC auf der OASIS-Website. |
WS-Trust |
Ein Standard, der mithilfe von WS-Sicherheit Webdienste mit Methoden zum Erstellen und Verifizieren von Vertrauensstellungen bereitstellt. Weitere Informationen zu WS-Trust finden Sie unter OASIS Web Services Secure Exchange (WS-SX) TC auf der OASIS-Website. |
Siehe auch
Weitere Ressourcen
Web Services Federation Language (WS-Federation) Version 1.2