Qual è la differenza tra "autorizzazione basata sui ruoli" e "autorizzazione basata sui reclami"? In quali circostanze sarebbe opportuno implementare ciascuno di questi modelli di autorizzazione?
Qual è la differenza tra "autorizzazione basata sui ruoli" e "autorizzazione basata sui reclami"? In quali circostanze sarebbe opportuno implementare ciascuno di questi modelli di autorizzazione?
Le attestazioni sono un metodo per fornire informazioni su un utente e i ruoli sono una descrizione di un utente in base al ruolo che gli spettano.
Le affermazioni sono generalmente più utili perché possono contenere dati arbitrari, incluse le informazioni sull'appartenenza al ruolo. Per esempio. qualunque cosa sia utile per la specifica applicazione.
Le identità basate sui reclami sono più utili, ma tendono ad essere più complicate da usare perché in primo luogo vi è un sacco di impostazioni per l'acquisizione delle richieste. Le identità RBAC sono meno utili perché sono solo una raccolta di ruoli, ma in genere sono più facili da configurare.
Lo stack .NET e Windows nel suo insieme stanno andando avanti. I ticket authn di Windows sono rivendicazioni e Active Directory ora è in grado di utilizzare le attestazioni per determinate funzioni. Per impostazione predefinita, lo stack .NET utilizza un'identità delle attestazioni come oggetto di identità di base.
Come affermato da @SteveS, RBAC è un modello di autorizzazione mentre le affermazioni sono un modo per fornire informazioni su un utente. Generalizza la nozione di ruolo. In passato i server di identità fornivano semplicemente le applicazioni, il nome utente e l'elenco di ruoli / gruppi. Le affermazioni generalizzano questo in modo tale che qualsiasi attributo utente possa essere passato all'applicazione consumante.
L'autorizzazione stessa gestisce ancora l'autorizzazione utilizzando le dichiarazioni e la propria logica. Microsot SharePoint e Windows Server 2012 sono buoni esempi di applicazioni che utilizzano attestazioni per fornire autorizzazioni più dettagliate. SharePoint presuppone che se un utente ha almeno un reclamo che viene anche assegnato a un sito / documento, l'accesso è consentito. Windows Server 2012 ha un linguaggio denominato SDDL che può essere utilizzato per combinare le attestazioni dell'utente e le informazioni sulla classificazione dei file.
In generale, tuttavia, si desidera confrontare RBAC (controllo dell'accesso basato sui ruoli) in ABAC (controllo dell'accesso basato sull'attributo). Entrambi sono modelli di autorizzazione definiti dal NIST. Entrambi possono usare affermazioni ma non necessariamente. Inoltre, le attestazioni sono molto incentrate sull'utente, mentre ABAC consente di definire l'autorizzazione in base agli attributi utente (attestazioni) nonché agli attributi delle risorse (oggetto) e persino al contesto (ora del giorno ...).
ABAC è implementato nello standard XACML OASIS (eXtensible Access Control Markup Language) che fornisce controllo degli accessi basato su criteri e attributi.
Ecco alcuni buoni riferimenti che puoi verificare:
Leggi altre domande sui tag authentication identity authorization rbac federation