SharePoint 基于声明的标识
上次修改时间: 2010年4月14日
适用范围: SharePoint Foundation 2010
本节讨论 Microsoft SharePoint Foundation 2010 和 Microsoft SharePoint Server 2010 中基于声明的标识体系结构的基础知识。
基于声明的身份验证
通过基于声明的身份验证,系统和应用程序只需用户公开必要的个人信息(如身份证号和出生日期)即可对用户进行身份验证。基于声明的身份验证的一个示例是某人声明已满 18 岁或者某人声明自己属于公司的市场营销部门。外部系统(信赖方)只需信任可以验证这些声明的身份验证机构,即可允许对用户进行身份验证以许可用户使用特定功能。
声明
考虑声明的最佳方式是将声明作为有关某一使用者的一组信息。此使用者通常是指个人,但也可以是应用程序、计算机或其他实体。通过网络传输标识时,它由某种类型的令牌(也称为安全令牌)表示。
声明是声明提供程序对使用者断言的有关使用者的一组信息。它是有关使用者的陈述(例如姓名),由使用者对本身或另一使用者做出。可以将声明视为一些标识信息,如电子邮件地址、姓名、年龄或销售角色中的成员身份。它是表示特定用户、应用程序、计算机或其他实体的唯一标识符。它允许该实体无需多次输入凭据即可访问多种资源,如应用程序和网络资源。它还允许资源验证来自实体的请求。应用程序收到的声明越多,您了解的用户信息也越多。
声明将获得一个或多个值,然后打包到由安全令牌服务 (STS) 颁发的安全令牌中。
因为传送方法的原因,企业目录中较常使用声明 词而不是属性 一词。在此模型中,应用程序不在目录中查找用户属性,而是由用户将声明传送到应用程序。每个声明都由发布者做出,您对声明的信任程度与对发布者的信任程度相同。例如,您对公司域控制器做出的声明的信任程度高于用户做出的声明。声明 API 具有发布者属性,通过它您可以找到声明的发布者。
令牌
令牌是陈述有关标识的信息的一组字节。这些信息包含一个或多个声明,每个声明都包含有关应用此令牌的使用者的一些信息。令牌中的声明通常包含提供令牌的用户的姓名等信息,还包含许多类型的其他信息 — 声明不限于、甚至不需要包括使用者的姓名。此外,顾名思义,声明 表明接收令牌的应用程序不会自动接受其中包含的信息。实际上,在应用程序使用令牌中包含的任何声明之前,通常会通过某种方式对收到的令牌进行验证。
这其中的重要概念是声明不仅是用于标识资源、应用程序或用户的唯一标识符,它是一组用于描述资源、应用程序或用户的声明(值)。声明还用于授予访问权限。