Eh bien, pas exactement à un enfant de 5 ans, mais évitez si possible les mots à la mode et les discours d'entreprise.
L'authentification basée sur les revendications semble faire fureur maintenant, mais je n'ai pas pu trouver une explication simple et réaliste de ce qu'elle est réellement, en quoi est-elle différente de ce que nous avons maintenant (je suppose que "ce que nous avons maintenant" être une authentification basée sur les rôles), quels sont les avantages de son utilisation, etc.
terminology
claims-based-identity
Anton Gogolev
la source
la source
Réponses:
@Marnix a une assez bonne réponse, mais pour s'éloigner de l'aspect technique:
L'authentification basée sur les revendications consiste à définir à qui vous faites confiance pour vous donner des informations précises sur votre identité, et à n'utiliser que les informations fournies. Mon (le) exemple de choix est dans un bar. Imaginez un instant que vous vouliez prendre une bière au bar. En théorie, le barman devrait vous demander une preuve d'âge. Comment le prouvez-vous? Eh bien, une option consiste à demander au barman de vous couper en deux et de compter le nombre de sonneries, mais cela pourrait poser des problèmes. L'autre option est pour vous d'écrire votre anniversaire sur un morceau de papier que le barman approuve ou désapprouve. La troisième option est d'aller au gouvernement, d'obtenir une carte d'identité, puis de la présenter au barman.
Certains peuvent rire à l'idée d'écrire simplement votre anniversaire sur un morceau de papier, mais c'est ce qui se passe lorsque vous authentifiez les utilisateurs dans l'application elle-même, car c'est au barman (ou à votre application) de faire confiance au morceau de papier. . Cependant, nous faisons confiance à l'affirmation du gouvernement selon laquelle l'anniversaire sur la pièce d'identité est valide et que la pièce d'identité est celle de la personne qui demande la boisson. À toutes fins utiles, le barman (ou l'application) ne se soucie pas vraiment de la façon dont l'authentification s'est produite en raison de la confiance. Le barman ne sait rien de vous sauf votre date de naissance car c'est tout ce que le barman a besoin de savoir. Maintenant, le barman peut stocker des informations qu'il pense importantes pour lui, comme votre boisson préférée, mais le gouvernement s'en fiche (car ce n'est pas la source faisant autorité),
La clé de l'ABC est "qui est la source officielle de l'identité?"
la source
(Ceci est mon point de vue personnel à ce sujet, d'autres peuvent différer. Veuillez publier d'autres points de vue sous forme de réponses distinctes.)
L'identité / l'authentification / l'autorisation basée sur les revendications consiste à séparer la maintenance des autorisations des utilisateurs et la connexion des utilisateurs à une application (Web), en transformant l'authentification / l'autorisation en un service (Web) distinct.
Ainsi, par exemple, lorsque je navigue vers une application Web prenant en charge les revendications pour la première fois, elle redirige mon navigateur vers un «service de connexion» auquel il fait confiance. Je m'authentifierai auprès de ce service (à l'aide de l'authentification Windows, d'une carte à puce ou autre), et en réponse, il renvoie un «jeton», que le navigateur renvoie à l'application Web. À présent, l'application Web vérifie que le jeton est signé numériquement par son service de connexion approuvé, puis examine les «revendications» dans le jeton. En se basant uniquement sur ces affirmations, l'application décide des fonctionnalités offertes à l'utilisateur.
Les revendications incluront presque toujours l'identité de l'utilisateur, souvent il y a aussi des revendications liées à l'autorisation (`` cet utilisateur peut afficher les données de vente, mais ne pas les mettre à jour ''), et parfois d'autres informations également (`` pointure de la chaussure = 42 '').
Le point clé est que l'application ne sait pas et ne se soucie pas de la manière dont l'utilisateur a été authentifié, ni de la manière dont les autorisations sont gérées: elle utilise uniquement les informations des revendications du jeton signé pour déterminer qui est l'utilisateur et / ou ce que l'utilisateur peut voir ou faire et / ou toute autre information sur l'utilisateur.
(Oui, je suppose ici un enfant de 5 ans assez intelligent et bien informé. :-)
la source
L'exemple du monde réel suivant est tiré du Guide du contrôle d'accès et d'identité basé sur les revendications (2e édition) .
la source
Pour un garçon de 5 ans, demandez-lui de supposer qu'il a rejoint une nouvelle école en signant la demande par ses parents. Après approbation de la direction de l'école pour sa demande, il obtient une carte d'accès qui contient toutes les informations ci-dessous que nous pouvons appeler des RÉCLAMATIONS pour entrer dans l'école.
Le premier jour de son école alors qu'il entre dans l'école, il a glissé sa carte d'accès et les portes se sont ouvertes, ce qui signifie qu'il a été RÉCLAMÉ COMME l'une des personnes de l'école. De cette façon, il est une PERSONNE AUTHENTIFIÉE pour entrer dans l'école.
Après avoir atteint sa classe, il a utilisé une carte d'accès pour entrer dans chaque classe, mais à la 8e classe standard, les portes se sont ouvertes car il prétendait être de la 8e norme.
À l'école, il est seulement AUTORISÉ à entrer dans sa classe car il étudie actuellement la 8e norme. Et s'il essaie d'entrer en 6e Standard, l'instituteur NE L'AUTORISERA PAS.
la source
Aussi non technique que possible:
Si vous deviez décrire quoi que ce soit sur qui vous êtes et ce que vous étiez autorisé à voir ou à faire, chacune de ces choses serait quelque chose que vous "prétendiez" être vrai, et donc chaque "chose" sur cette liste serait un " prétendre".
Chaque fois que vous dites à quelqu'un quelque chose sur vous-même ou que vous «prétendez» que vous êtes autorisé à voir ou à faire quelque chose, vous lui remettez votre liste de réclamations. Ils vérifieront auprès d'une autorité que vos affirmations sont vraies et si elles le sont, ils croiront tout ce qui figure sur cette liste de réclamations. Donc, si vous prétendez que vous êtes Brad Pitt, votre liste de réclamations indique que vous êtes Brad Pitt, et il a été vérifié auprès de l'autorité que vos affirmations sont toutes vraies - alors ils croiront que vous êtes Brad Pitt avec rien d'autre dans cette liste.
Revendication : ce que vous prétendez être vrai. Il peut s'agir d'une information ou d'une description d'une autorisation que vous prétendez avoir. Le système auquel vous présentez vos réclamations doit uniquement comprendre ce que signifie la réclamation et être en mesure de vérifier auprès de l'autorité.
Autorité : Le système qui rassemble votre liste de réclamations et la signe qui dit essentiellement: «De mon autorité, tout dans cette liste est vrai». Tant que le système lisant les revendications peut vérifier auprès de l'autorité que la signature est correcte, alors tout ce qui figure dans la liste des revendications sera considéré comme authentique et vrai.
Aussi, ne l'appelons pas «authentification basée sur les revendications», appelons-la plutôt «identité basée sur les revendications».
Un peu plus technique:
Alors maintenant, dans ce processus, vous vous authentifiez en utilisant une sorte de mécanisme (nom d'utilisateur / mot de passe, secret client, certificat, etc.) et cela vous donne un jeton qui prouve que vous êtes qui vous dites être. Ensuite, vous échangez ce jeton d'accès contre un jeton d'identification. Ce processus utilisera votre identité pour rechercher et créer une liste de revendications, la signer, puis vous remettre un jeton d'identification contenant toutes vos revendications.
Au cours de l' étape d' autorisation , selon la façon dont elle est mise en œuvre, la ressource examinera votre jeton d'identification (revendications), puis vérifiera si vous disposez des revendications nécessaires pour accéder à cette ressource.
Ainsi par exemple, si la ressource "CastleBlack / CommandersTower" dit que "vous devez avoir accès au château noir et être le seigneur commandant, alors il va regarder votre liste de revendications pour voir si ces deux choses sont vraies.
Comme vous le voyez, les «revendications» peuvent être n'importe quoi. Cela peut être un rôle, cela peut être un fait, cela peut être un drapeau. C'est juste une liste de paires clé-valeur et la "valeur" est facultative. Parfois, il s'agit simplement de voir si la réclamation existe:
Donc, si Jon s'est connecté et tente d'accéder à la ressource décrite ci-dessus, il serait refusé car, bien qu'il soit ce qu'il prétend être et qu'il ait accès au château noir, il n'est plus le seigneur commandant et n'a pas non plus un accès explicite à la tour du commandant, et ne peut donc pas entrer implicitement dans la tour du seigneur commandant.
Plus spécifiquement, "CastleBlack" serait probablement une portée [plus large], et chaque zone serait une autorisation spécifique, mais c'est une discussion différente.
La manière dont chaque application traite l'accès sera différente, mais elle utilisera des revendications pour le faire.
la source
Étant donné qu'une revendication est un attribut qui vous dit quelque chose sur l'utilisateur (le nom, l'âge, l'appartenance ethnique, etc.), vous travaillez avec un service de jetons de sécurité pour valider ces revendications et les avez également utilisées pour l'autorisation en dehors de l'authentification.
L'extrait suivant est tiré de Wikipedia ( http://en.wikipedia.org/wiki/Claims-based_identity ) et c'est la meilleure analogie que j'ai trouvée jusqu'à présent
"Pour mieux comprendre le concept de service de jetons de sécurité, considérons l'analogie d'une boîte de nuit avec un portier. Le portier veut empêcher les clients mineurs d'entrer. Pour faciliter cela, il demande à un client de présenter un permis de conduire, une carte d'assurance maladie ou toute autre pièce d'identité (le jeton) qui a été émise par un tiers de confiance (le service de jeton de sécurité) tel que le service d'immatriculation des véhicules de la province ou de l'État, le service de la santé ou la compagnie d'assurance. La boîte de nuit est ainsi déchargée de la responsabilité de déterminer le client Il n'a qu'à faire confiance à l'autorité émettrice (et bien sûr à juger lui-même de l'authenticité du jeton présenté). Une fois ces deux étapes accomplies, la boîte de nuit a réussi à authentifier le client en ce qui concerne l'affirmation selon laquelle il ou elle âge légal pour boire.
Poursuivant l'analogie, la boîte de nuit peut avoir un système d'adhésion, et certains membres peuvent être réguliers ou VIP. Le portier pourrait demander un autre jeton, la carte de membre, qui pourrait faire une autre réclamation; que le membre est un VIP. Dans ce cas, l'autorité émettrice de confiance du jeton serait probablement le club lui-même. Si la carte de membre prétend que le client est un VIP, le club peut alors réagir en conséquence, traduisant la demande d'adhésion VIP authentifiée en une autorisation telle que le client est autorisé à s'asseoir dans le salon exclusif et à se voir servir des boissons gratuites. "
la source