Ноэл М., Спенс К. - Microsoft SharePoint. Полное руководство - 2011

Аутентификация по заявкам (claims-based authentication или claims authentication) для SharePoint 2010 основана на использовании среды базовой идентификации Windows (Windows Identity Foundation — WIF).

WIF представляет собой набор классов .NET Framework, используемых для реализации идентификации по заявкам. Аутентификация по заявкам была разработана для обеспечения более адресной защиты в модели ролевой безопасности. В большинстве систем, включая и SharePoint 2007 и его предшественников, используется ролевая (или групповая) безопасность. В сложных системах может применяться защита по заявкам, когда полномочия выделяются другим атрибутам (заявкам), связанным с пользователями — это может быть, например, город или членство в списке рассылки.

Аутентификация по заявкам в SharePoint 2010 предоставляет гибкую и расширяемую систему аутентификации, позволяющую задействовать любую систему управления идентификацией, которая поддерживает аутентификацию по заявкам. У аутентификации по заявкам имеются несколько преимуществ:

• Еще большая независимость SharePoint 2010 от поставщиков аутентификации.

• SharePoint 2010 может поддерживать несколько поставщиков аутентификации для одного URL.

• Позволяет передавать (и персонифицировать) сущности между системами без делегирования Kerberos.

• Позволяет организациям выполнять совместную работу с помощью федерации.

• Позволяет формировать списки ACL с помощью других объектов и контейнеров членства, например, списков рассылок, аудиторий и организационных единиц.

• Организации могут подключаться к системам управления идентификацией, не работающим под Windows, если они поддерживают заявки.

■ Появилась общая модель для выполнения операций идентификации для веб-браузеров, веб-служб и других браузерных приложений, в том числе и пакетов Office.

Аутентификация по заявкам основана на открытых стандартах WS-Federation 1.1, WS-Trust 1.4 и SAML Token 1.1. Их описание можно прочитать по адресу http://www. oasis-open.org/specs/.

Аутентификация по заявкам проста в использовании, однако для ее выполнения работают несколько взаимосвязанных компонентов. В ней имеются три основных компонента: поставщик идентификации, доверяющая сторона и аутентифицируемый пользователь, которые взаимодействуют в процессе аутентификации, обмениваясь информацией и заявками.

Целью любого процесса аутентификации является идентификация сущности как доверителя безопасности (security principal) авторизованного пользователя. Основным компонентом процесса аутентификации по заявкам является маркер доступа (security token), который использует язык разметки утверждения безопасности (Security Assertion Markup Language — SAML). Маркер доступа используется для безопасной идентификации и описания сущности с помощью содержащегося в нем набора заявок (утверждений идентификации) для этой сущности. Заявка (claim) представляет собой атрибут, специфичный для сущности — например, идентификатор работника, название должности или пользовательское имя. Заявки применяются для определения уровня доступа сущности к конкретным ресурсам SharePoint 2010.

И поставщик идентификации, и доверяющая сторона реализованы в виде служб маркеров доступа (Security Token Service — STS), и каждый из них выполняет свою особую роль в процессе аутентификации. Служба маркеров доступа (рис. 13.4) обрабатывает обмен заявками и создает, подписывает и выпускает маркеры доступа, которые можно использовать для аутентификации и авторизации сущности. Для определения содержимого маркера доступа в STS применяется политика — набор заявок и правил заявок, которые одобрены между одной или более STS и веб-приложением SharePoint, как показано на рис. 13.5. Политики находятся в хранилище заявок и доступны службам S'1'S на основе требований вызывающего веб-приложения. Хранилища атрибутов состоят из различных систем и поставщиков идентификации, содержащих информацию учетных записей пользователей — таких как доменная служба Active Directory (AD DS), ASP.NET и других поставщиков аутентификации, совместимых с маркерами SAML. В процессе аутентификации S'1'S может выполнять две роли: поставщика идентификации и доверяющей стороны.

IP-STS представляет собой поставщик идентификации, который предоставляет заявку на основе сообщенной пользователем информации. В SharePoint IP-STS выполняет роль локального поставщика идентификации для запрашивающего веб-приложения: она получает запрос на аутентификацию, обрабатывает его, находит политику для запрашивающего веб-приложения или STS доверяющей стороны и создает маркер доступа с помощью заявок сущности в соответствующем хранилище атрибутов.