SharePoint 2010: Claims-based Authentication
基于声明的身份授权模型
SharePoint Server 2010引入了一个全新的、强大的,并且非常灵活的授权模型,可以和企业的任何身份体系相集成,包括:AD,基于LDAP的目录服务,特定应用程序的身份体系,以及新的以用户为中心的身份模型,如LiveID。该模型使用基于声明的授权模式和新产品——Geneva。基于声明的授权模型围绕身份理念构建,并且使用WS-Federation, WS-Trust,以及诸如Security Assertion Markup Language (SAML)等协议构建。
身份是用户信息的集合,包括:名称、邮箱地址、部门等等。事实上,Geneva等同于3套相关的技术:Active Directory Federation Services (以前称为Geneva Server),Windows Cardspace™ (以前称为Cardspace Geneva), 以及Windows Identity Foundation (以前称为Geneva Framework)。
为什么使用这个新的系统?
身份是驱动应用各个关键部分的核心,比如:用户是谁(authentication),用户拥有什么样的权限(authorization),以及应用如何与用户进行交互(personalization)等等。当今所有的应用都有身份体系,但都运行在各自的身份体系下。通常,要集成这些应用非常非常困难。
基于声明的身份授权体系为应用提供了一种从组织内、其他组织以及Internet,获取用户身份信息的常规方法。
身份信息包含在security token内(简单来讲,就是Token)。Token包含一个或者多个用户声明。我们可以把基于声明的授权体系理解为用户元数据,而这些数据贯穿于用户访问Session的整个过程。
基于声明的授权体系为SharePoint 2010提供了无限的可能性。我们可以在一个Web应用中灵活地使用多个用户授权体系,然后根据他们的Token提供的身份信息提供更加个性化的访问体验。