身分識別儲存區

對某些應用程式而言，操作使用者識別是很輕鬆的動作。 請想像有個 Windows 應用程式只能由單一組織中的使用者進行存取，而且不需要知道太多關於使用者的資訊。 這個應用程式可以直接依賴屬於 Active Directory 網域服務 (AD DS) 一部分的 Kerberos 來驗證其使用者，並傳達關於使用者的基本資訊。 或者，請想像有個應用程式只能由網際網路使用者進行存取。 這個應用程式可以直接向每個使用者要求提供使用者名稱和密碼，然後將這份使用者資訊儲存到資料庫中。

然而對大多數應用程式而言，操作使用者識別其實是更加複雜的動作。 請想像有個應用程式需要由 Kerberos 提供每位使用者的詳細資訊，或是僅需要使用者名稱和密碼。 應用程式必須從 AD DS 等其他來源取得這份資訊，或自行儲存此份資訊。 或者，請想像有個應用程式必須讓組織內部員工和網際網路使用者都可存取。 應用程式必須能同時支援 Kerberos 和使用者名稱及密碼形式的登入方式。 最後，假設應用程式必須讓不同的組織能夠在不用另外登入的情況下進行存取。 這個「識別身分同盟」(Identity Federation) 無法與 Kerberos 或使用者名稱/密碼登入方式完美配合。

下圖將說明在一般組織中發生的身分識別儲存區問題。 您可以發現到，當使用者只是要存取自己網域內的不同應用程式時，都會被強制另外登入，更別提存取其他網域內應用程式的情況了。

宣告型身分識別會提供可在所有上述情況下進行識別的方法。 它的架構基礎是廣為人知且可同時跨平台和組織界限運作的業界標準。 它也可以在多種廠商推出的產品上廣為實作，並可讓開發人員以簡單步驟進行操作。