Anspruchsbasierte Identität in SharePoint
Letzte Änderung: Mittwoch, 14. April 2010
Gilt für: SharePoint Foundation 2010
In diesem Abschnitt werden die Grundlagen der anspruchsbasierten Identitätsarchitektur in Microsoft SharePoint Foundation 2010 und Microsoft SharePoint Server 2010 beschrieben.
Anspruchsbasierte Authentifizierung
Die anspruchsbasierte Authentifizierung ermöglicht Systemen und Anwendungen die Authentifizierung eines Benutzers, ohne mehr persönliche Informationen (wie Sozialversicherungsnummer und Geburtsdatum) als nötig von ihm zu erfragen. Beispiele für die anspruchsbasierte Authentifizierung sind etwa, wenn jemand behauptet, über 18 Jahre alt zu sein oder der Marketinggruppe eines Unternehmens anzugehören. Ein externes System (vertrauende Seite) muss nur der Authentifizierungsstelle vertrauen, die diese Ansprüche überprüfen kann, um die Authentifizierung des Benutzers für bestimmte Funktionen zuzulassen.
Ansprüche
Am einfachsten lassen sich Ansprüche als ein Satz von Informationen über ein bestimmtes Subjekt betrachten. Bei diesem Subjekt handelt es sich meist um eine Person, es könnte jedoch auch eine Anwendung, ein Computer oder etwas anderes sein. Wenn eine Identität im Netzwerk übertragen wird, wird sie durch eine Art Token (auch als Sicherheitstoken bezeichnet) dargestellt.
Ein Anspruch besteht aus Informationen zu einem Subjekt, die ein Anspruchsanbieter über das Subjekt zusichert. Es handelt sich um eine Aussage über ein Subjekt (z. B. einen Namen), die von einem Subjekt über sich selbst oder ein anderes Subjekt getroffen wird. Sie können sich einen Anspruch als eine Gruppe von Identitätsinformationen vorstellen, wie beispielsweise E-Mail-Adresse, Name, Alter oder Mitgliedschaft in der Vertriebsrolle. Durch diese Informationen wird ein bestimmter Benutzer, eine Anwendung, ein Computer oder eine andere Entität eindeutig gekennzeichnet. Sie ermöglichen dieser Entität den Zugriff auf mehrere Ressourcen, wie Anwendungen und Netzwerkressourcen, ohne Anmeldeinformationen mehrfach eingeben zu müssen. Zudem ermöglichen sie den Ressourcen die Überprüfung der von einer Entität gestellten Anforderungen. Je mehr Ansprüche eine Anwendung empfängt, desto mehr wissen Sie über den Benutzer.
Ein Anspruch wird mit einem oder mehreren Werte versehen und anschließend in Sicherheitstoken gepackt, die von einem Sicherheitstokendienst (Security Token Service, STS) ausgegeben werden.
Das Wort Anspruch wird aufgrund der Übermittlungsmethode anstelle des Begriffs Attribute verwendet, der mehr im Kontext der Unternehmensverzeichnisse gängig ist. In diesem Modell werden Benutzerattribute nicht von einer Anwendung in einem Verzeichnis nachgeschlagen. Vielmehr übermittelt der Benutzer Ansprüche an die Anwendung. Jeder Anspruch wird von einem Aussteller erhoben, und Sie vertrauen dem Anspruch nur so weit, wie Sie dem Aussteller vertrauen. Beispielsweise vertrauen Sie einem Anspruch, der vom Domänencontroller des Unternehmens gestellt wird, mehr als einem Anspruch des Benutzers. Die Anspruchs-API verfügt über eine Ausstellereigenschaft, über die Sie herausfinden können, wer den Anspruch gestellt hat.
Token
Ein Token ist ein Satz von Bytes, der Informationen über eine Identität darstellt. Diese Informationen bestehen aus einem oder mehreren Ansprüchen, die jeweils Informationen über das Subjekt enthalten, für das dieses Token gilt. Die Ansprüche in einem Token enthalten üblicherweise Informationen wie den Namen des Benutzers, der es vorweist. Darüber hinaus können unterschiedliche andere Informationen enthalten sein – Ansprüche sind nicht beschränkt auf den Namen eines Subjekts und müssen diesen auch nicht enthalten. Wie das Wort Ansprüche nahe legt, akzeptiert eine Anwendung, die ein Token empfängt, nicht automatisch die darin enthaltenen Informationen. Stattdessen wird ein empfangenes Token in der Regel auf irgendeine Art überprüft, bevor eine Anwendung von darin enthaltenen Ansprüchen Gebrauch macht.
Das Schlüsselkonzept liegt darin, dass ein Anspruch nicht nur ein eindeutiger Bezeichner ist, der die Ressource, die Anwendung oder den Benutzer identifiziert. Vielmehr wird die Ressource, die Anwendung oder der Benutzer durch einen Satz von Ansprüchen (d. h. Werten) beschrieben. Die Ansprüche werden auch zur Autorisierung des Zugriffs verwendet.