ADFS reclama il consolidamento da diversi emittenti

1

Spero di aver compreso il concetto di attestazioni in generale ora dopo aver letto gli articoli correlati su ADFS, i certificati utilizzati per la firma dei token di attestazioni ecc. Ma ecco cosa è strano per me:

Le affermazioni sono così astratte che in forma generale sono sostanzialmente inutili per qualcosa di diverso dall'autenticazione. Non ci sono dati fissi che i reclami devono contenere e posso fare affidamento su . Tutto dipende dalla volontà dell'emittente di fornire tali informazioni e non è sotto il nostro controllo [fonte: "Markus dice" nella sezione "Cosa rende un buon reclamo" di panoramica delle attestazioni articolo su MSDN].

Consideriamo semplice esempio , utilizzato in uno degli esempi di autorizzazione che ho trovato: se le attestazioni contengono informazioni sull'utente age > 65 , è autorizzato a visitare la sezione pensionamenti del sito. Ma cosa succede se non contiene tali informazioni? Ed è molto probabile che a un certo punto inizieremo a supportare l'emittente di attestazioni aggiuntive che non fornirà tali informazioni. Lo stesso si può dire sull'appartenenza al gruppo degli amministratori o su qualsiasi altra rivendicazione.

Inoltre, potrei immaginare una situazione in cui Facebook fornisce un "gruppo" di reclami con l'elenco dei membri di Facebook (che possono essere facilmente modificati e denominati "Amministratori"), mentre Active Directory utilizza lo stesso nome per fornire informazioni sul dominio gruppi. Quindi ritengo che ci sia un certo punto di consolidamento dei dati, un ponte per colmare le lacune e la creazione di un'applicazione di richiesta di risarcimento può utilizzare . L'illustrazione di l'articolo sulla descrizione delle rivendicazioni indica alcuni processi " Raccolta di informazioni " che potrebbe essere ciò a cui sto pensando, ma non lo copre con la spiegazione e non sembra essere specifico dell'applicazione:

Mi manca qualcosa?

PS : attualmente nella mia applicazione utilizzo Nome utente, telefono, dipartimento, appartenenza ai gruppi e altre informazioni da Active Directory e sono preoccupato di poter contare su che dopo aver implementato il supporto dell'autenticazione ADFS. Probabilmente no, ma allo stesso tempo devo ottenere quell'informazione in qualche modo.

    
posta Oleksandr Pshenychnyy 10.10.2016 - 17:55
fonte

1 risposta

0

Dopo aver letto un altro articolo sulle architetture ADFS ho finalmente capito che tutto il consolidamento è stato fatto a livello dell'emittente e che l'emittente "vicino alla propria applicazione" non è così definito, e in realtà dovrebbe essere responsabile della fornitura delle attestazioni richieste nell'applicazione di formato. Ha un identificatore di applicazione e funzionalità di mappatura delle attestazioni a tale scopo (leggi l'articolo per maggiori dettagli).

    
risposta data 11.10.2016 - 19:51
fonte

Leggi altre domande sui tag