클레임 기반 보안 모델에서 토큰을 적절하게 사용합니까?

Question

나는 클레임 ​​기반 보안이 처음이다. 전제를 이해하지만 토큰에 관해 몇 가지 질문이 있습니다.

내가 알기론 토큰은 주어진 사용자에 대한 모든 클레임을 전달하며 시스템마다 다른 클레임을 사용하여 시스템에 대한 권한 부여를 결정합니다. 이 점에 대해 몇 가지 질문이 있습니다.

1) 이는 STS가 모든 시스템에 대한 모든 클레임을 알고 있다는 것을 의미합니까? 이것은 토큰이 엄청나게 커질 수 있다는 것을 의미하지 않습니까? 또는 토큰은 인증을 요청하는 신뢰 당사자가 필요로하는 클레임 ​​만 가지고 있습니까?

2) 클레임 클레임은 시스템에 대한 세분화 된 액세스를 결정하기 위해 사용되거나 의존 당사자가 별도의 추적 사용 권한을 유지해야합니까?

다른 사용자 권한이 100 인 시스템이 있습니다. 클레임 기반 솔루션으로 이동하는 과정에서 누락 된 부분은 STS에 의해 관리되고 토큰에 제공된 모든 사용 권한입니까? 또는 토큰을 사용하여 사용자를 인증 한 다음 사용 권한을 직접 관리합니까? 또는 아마도 그 중 일부입니까?

도움말 및 지침을 알려주세요.

종류 ADFS 사용 TheMistry

Answer 1

1), RP 각 항 중 그룹과 별도로 구성된 간주한다. 따라서 사용자는 해당 RP에 대한 클레임 만받습니다.

2)/3) 이것은 회색 영역입니다. 모든 사용 권한을 소유권 주장으로 옮길 수 있습니다. ADFS는 AD/LDAP/SQL Server로부터 클레임을 허용합니다. ADFS를 사용하면 AD 특성을 역할에 매핑 할 수도 있습니다. 일반적으로 RP가 모든 역할 기반 항목을 클레임으로 전달하므로 RP는 "IsInRole()"과 같은 코드를 가질 수 있지만 나머지는 RP가 처리하도록 남겨 둡니다.