อธิบาย“ การรับรองความถูกต้องตามการอ้างสิทธิ์” ให้แก่เด็กอายุ 5 ปี

ไม่ใช่สำหรับเด็ก 5 ขวบ แต่โปรดหลีกเลี่ยง buzzword และ enterprisepeak หากเป็นไปได้

การพิสูจน์ตัวตนโดยใช้การอ้างสิทธิ์ดูเหมือนว่าจะเป็นความเดือดดาลทั้งหมด แต่ฉันไม่สามารถหาคำอธิบายที่เรียบง่ายและเป็นธรรมชาติได้ว่ามันคืออะไรจริง ๆ มันแตกต่างจากสิ่งที่เรามีตอนนี้อย่างไร (ฉันถือว่า "สิ่งที่เรามีตอนนี้" การตรวจสอบตามบทบาท) อะไรคือประโยชน์ของการใช้มันและอื่น ๆ

@Marnix มีคำตอบที่ดีงาม แต่ขั้นตอนจากด้านเทคนิคของมัน:

การรับรองความถูกต้องตามการอ้างสิทธิ์นั้นเกี่ยวกับการกำหนดผู้ที่คุณไว้วางใจให้ข้อมูลที่ถูกต้องเกี่ยวกับตัวตนและใช้ข้อมูลที่ให้ ตัวอย่าง go-to ของฉันอยู่ที่บาร์ ลองนึกภาพสักครู่ว่าคุณต้องการดื่มเบียร์ที่บาร์ ตามทฤษฎีแล้วบาร์เทนเดอร์ควรขอหลักฐานยืนยันอายุจากคุณ คุณพิสูจน์ได้อย่างไร ทางเลือกหนึ่งคือให้บาร์เทนเดอร์ตัดครึ่งและนับจำนวนของวง แต่อาจมีปัญหาบางอย่าง อีกทางเลือกหนึ่งคือให้คุณเขียนวันเกิดลงบนกระดาษที่บาร์เทนเดอร์อนุมัติหรือไม่อนุมัติ ตัวเลือกที่สามคือไปที่รัฐบาลรับบัตรประจำตัวประชาชนจากนั้นนำเสนอ ID ไปที่บาร์เทนเดอร์

บางคนอาจหัวเราะเยาะความคิดที่จะเขียนวันเกิดของคุณลงบนกระดาษ แต่นี่คือสิ่งที่เกิดขึ้นเมื่อคุณพิสูจน์ตัวตนผู้ใช้ภายในแอปพลิเคชันเพราะมันขึ้นอยู่กับบาร์เทนเดอร์ (หรือแอปพลิเคชันของคุณ) . อย่างไรก็ตามเราเชื่อมั่นในการยืนยันของรัฐบาลว่าวันเกิดใน ID นั้นถูกต้องและ ID นั้นสำหรับผู้ที่ขอเครื่องดื่ม สำหรับทุกเจตนาและวัตถุประสงค์บาร์เทนเดอร์ (หรือแอปพลิเคชัน) ไม่ได้สนใจว่าการรับรองความถูกต้องเกิดขึ้นเพราะความเชื่อถือ บาร์เทนเดอร์ไม่รู้อะไรเกี่ยวกับคุณยกเว้นวันเดือนปีเกิดเพราะนั่นคือทั้งหมดที่บาร์เทนเดอร์จำเป็นต้องรู้ ตอนนี้บาร์เทนเดอร์สามารถเก็บข้อมูลที่พวกเขาคิดว่ามีความสำคัญต่อพวกเขาเช่นเครื่องดื่มแก้วโปรดของคุณ แต่รัฐบาลไม่สนใจ (เพราะไม่ใช่แหล่งที่เชื่อถือได้)

กุญแจสำคัญในการ CBA คือ "ใครคือแหล่งที่มาของตัวตนที่มีสิทธิ์?"

(นี่เป็นเรื่องส่วนตัวของฉันในเรื่องนี้คนอื่นอาจแตกต่างกันโปรดโพสต์มุมมองอื่นเป็นคำตอบแยกต่างหาก)

เอกลักษณ์ / การรับรองความถูกต้องตามการอ้างสิทธิ์เป็นเรื่องเกี่ยวกับการแยกการบำรุงรักษาการอนุญาตผู้ใช้และการลงชื่อเข้าใช้ของผู้ใช้ออกจากแอปพลิเคชัน (เว็บ) โดยเปลี่ยนการพิสูจน์ตัวตน / การอนุญาตเป็นบริการแยกต่างหาก (เว็บ)

ตัวอย่างเช่นเมื่อฉันเรียกดูเว็บแอปพลิเคชันที่เปิดใช้งานการอ้างสิทธิ์เป็นครั้งแรกมันจะเปลี่ยนเส้นทางเบราว์เซอร์ของฉันไปเป็น 'บริการเข้าสู่ระบบ' ที่เชื่อถือได้ ฉันจะรับรองความถูกต้องกับบริการนั้น (โดยใช้การรับรองความถูกต้อง Windows, สมาร์ทการ์ดหรืออะไรก็ตาม) และในการตอบสนองก็จะส่ง 'โทเค็น' ซึ่งเบราว์เซอร์ส่งกลับไปที่เว็บแอปพลิเคชัน ตอนนี้เว็บแอปพลิเคชันตรวจสอบว่าโทเค็นได้รับการเซ็นชื่อแบบดิจิทัลโดยบริการเข้าสู่ระบบที่เชื่อถือได้แล้วดูที่ 'การเรียกร้อง' ในโทเค็น แอปพลิเคชั่นจะตัดสินใจว่ามีฟังก์ชั่นการใช้งานใดบ้าง

การอ้างสิทธิ์มักจะรวมถึงข้อมูลประจำตัวของผู้ใช้บ่อยครั้งที่มีการอ้างสิทธิ์ที่เกี่ยวข้องกับการอนุญาต ('ผู้ใช้รายนี้อาจดูข้อมูลการขาย แต่ไม่อัปเดตข้อมูล') และบางครั้งข้อมูลอื่น ๆ เช่นกัน ('ขนาดรองเท้า = 42')

จุดสำคัญคือแอปพลิเคชันไม่ทราบหรือไม่สนใจว่าผู้ใช้ได้รับการรับรองความถูกต้องหรือไม่และวิธีการตรวจสอบความถูกต้อง: เพียงใช้ข้อมูลจากการอ้างสิทธิ์ในโทเค็นที่ลงชื่อเพื่อระบุว่าผู้ใช้คือใครและ / หรือผู้ใช้ ดูหรือทำและ / หรือข้อมูลอื่น ๆ เกี่ยวกับผู้ใช้

(ใช่ฉันสมมติว่าเป็นคนฉลาดและมีความรู้ 5 ปีที่นี่ :-)

ตัวอย่างที่โลกแห่งความจริงต่อไปนี้จะนำมาจากคู่มือการเรียกร้องตามอัตลักษณ์และการควบคุมการเข้าถึง (ฉบับที่ 2)

คล้ายคลึงคุ้นเคยมากโปรโตคอลการตรวจสอบที่คุณติดตามทุกครั้งที่คุณเยี่ยมชมสนามบิน คุณไม่สามารถเดินไปที่ประตูและแสดงหนังสือเดินทางหรือใบขับขี่ของคุณได้ คุณต้องเช็คอินที่เคาน์เตอร์จำหน่ายตั๋วก่อน ที่นี่คุณนำเสนอสิ่งที่มีความเหมาะสม ถ้าคุณไปต่างประเทศคุณต้องแสดงหนังสือเดินทาง สำหรับเที่ยวบินภายในประเทศคุณแสดงใบขับขี่ของคุณ หลังจากตรวจสอบว่า ID รูปภาพของคุณตรงกับใบหน้าของคุณ (การรับรองความถูกต้อง ) ตัวแทนจะค้นหาเที่ยวบินของคุณและตรวจสอบว่าคุณได้ชำระตั๋ว (การอนุญาต ) แล้ว สมมติว่าทุกอย่างเป็นไปตามลำดับคุณจะได้รับบัตรผ่านขึ้นเครื่องที่คุณนำไปที่ประตู

บอร์ดดิ้งพาสมีข้อมูลมาก ตัวแทนประตูรู้ชื่อและหมายเลขใบปลิวของคุณบ่อยครั้ง (การรับรองความถูกต้องและความเป็นส่วนตัว) หมายเลขเที่ยวบินและลำดับความสำคัญที่นั่ง (การอนุญาต) และอาจมากกว่านั้น ตัวแทนประตูมีทุกสิ่งที่พวกเขาต้องการในการทำงานอย่างมีประสิทธิภาพ

นอกจากนี้ยังมีข้อมูลพิเศษเกี่ยวกับบัตรผ่านขึ้นเครื่อง มันถูกเข้ารหัสในบาร์โค้ดและ / หรือแถบแม่เหล็กที่ด้านหลัง ข้อมูลนี้ (เช่นหมายเลขประจำเครื่อง) แสดงให้เห็นว่าสายการบินออกให้โดยสายการบินและไม่ใช่การปลอมแปลง

ในสาระสำคัญบัตรผ่านขึ้นเครื่องเป็นชุดที่ลงนามของการเรียกร้องที่ทำโดยสายการบินเกี่ยวกับคุณ ระบุว่าคุณได้รับอนุญาตให้ขึ้นเครื่องในเวลาใดเวลาหนึ่งและนั่งในที่นั่งใดที่นั่งหนึ่ง แน่นอนว่าตัวแทนไม่ต้องคิดมากเกี่ยวกับเรื่องนี้ พวกเขาเพียงตรวจสอบบัตรผ่านขึ้นเครื่องของคุณอ่านข้อเรียกร้องจากนั้นและให้คุณขึ้นเครื่อง

สิ่งสำคัญคือต้องทราบว่าอาจมีมากกว่าหนึ่งวิธีในการรับชุดการอ้างสิทธิ์ที่มีการลงนามซึ่งเป็นบัตรผ่านขึ้นเครื่องของคุณ คุณอาจไปที่เคาน์เตอร์จำหน่ายตั๋วที่สนามบินหรือคุณอาจใช้เว็บไซต์ของสายการบินแล้วพิมพ์บัตรผ่านขึ้นเครื่องที่บ้าน ตัวแทนประตูขึ้นเครื่องเที่ยวบินไม่สนใจว่าบัตรผ่านขึ้นเครื่องถูกสร้างขึ้นอย่างไร พวกเขาไม่สนใจว่าผู้ออกบัตรใดที่คุณใช้ตราบใดที่สายการบินเชื่อถือได้ พวกเขาสนใจเพียงแค่ว่ามันเป็นชุดของการเรียกร้องที่แท้จริงซึ่งอนุญาตให้คุณขึ้นเครื่องบินได้

ในซอฟท์แวกำของการเรียกร้องนี้เรียกว่าการรักษาความปลอดภัยโทเค็น โทเค็นการรักษาความปลอดภัยแต่ละตัวได้รับการลงนามโดยผู้ออกที่สร้างขึ้น การประยุกต์ใช้การเรียกร้องตามพิจารณาให้ผู้ใช้สามารถรับรองความถูกต้องถ้าพวกเขานำเสนอที่ถูกต้องลงนามในการรักษาความปลอดภัย token จาก บริษัท ผู้ออกหลักทรัพย์ที่เชื่อถือได้

สำหรับเด็กอายุ 5 ปีขอให้เขาสมมติว่าเขาเข้าโรงเรียนใหม่โดยลงนามในใบสมัครโดยผู้ปกครองของเขา หลังจากได้รับการอนุมัติจากผู้บริหารโรงเรียนสำหรับใบสมัครของเขาเขาได้รับการ์ดเข้าถึงซึ่งมีข้อมูลทั้งหมดด้านล่างซึ่งเราสามารถเรียกมันว่า CLAIMS เพื่อเข้าสู่โรงเรียน

1. NAME ของ BOY คือ BOB
2. ชื่อโรงเรียนคือ MONTISSORI HIGH SCHOOL
3. ระดับคือเกรด 8

ในวันแรกของโรงเรียนของเขาในขณะที่เขาเดินเข้าไปในโรงเรียนเขารูดการ์ดเข้าถึงและประตูเปิดหมายความว่าเขาได้รับการเรียกร้องในฐานะหนึ่งในคนที่มาจากโรงเรียน ด้วยวิธีนี้เขาเป็นคนที่ได้รับอนุญาตให้เข้าโรงเรียน

หลังจากมาถึงชั้นเรียนของเขาเขาใช้ access card เพื่อเข้าไปในแต่ละชั้น แต่ที่ประตูชั้น 8 มาตรฐานเปิดขึ้นเมื่อเขาอ้างว่ามาจากมาตรฐานที่ 8

ในโรงเรียนเขาได้รับอนุญาตเท่านั้นที่จะเข้าเรียนในขณะที่เขากำลังศึกษามาตรฐานที่ 8 และถ้าเขาพยายามที่จะเข้าสู่มาตรฐานที่ 6 ครูโรงเรียนจะไม่อนุญาตให้เขา

ในฐานะที่ไม่ใช่ด้านเทคนิคที่สุด:

ถ้าคุณจะอธิบายอะไรเกี่ยวกับตัวคุณและสิ่งที่คุณได้รับอนุญาตให้ดูหรือทำสิ่งเหล่านั้นแต่ละอย่างจะเป็นสิ่งที่คุณ "อ้างว่า" เป็นจริงและทำให้แต่ละสิ่ง "" ในรายการนั้นจะเป็น " การเรียกร้อง"

เมื่อใดก็ตามที่คุณบอกใครบางคนเกี่ยวกับตัวคุณหรือ "อ้างสิทธิ์" ที่คุณได้รับอนุญาตให้ดูหรือทำบางสิ่งบางอย่างคุณจะส่งรายการข้อเรียกร้องของพวกเขาให้พวกเขา พวกเขาจะตรวจสอบกับหน่วยงานที่มีการเรียกร้องของคุณเป็นจริงและหากเป็นเช่นนั้นพวกเขาจะเชื่ออะไรในรายการการเรียกร้องนั้น ดังนั้นหากคุณอ้างว่าคุณเป็นแบรดพิตต์รายชื่อการอ้างสิทธิ์ของคุณบอกว่าคุณเป็นแบรดพิตต์และได้รับการตรวจสอบกับหน่วยงานที่คุณอ้างว่าเป็นจริงทั้งหมด - พวกเขาจะเชื่อว่าคุณคือแบรดพิตต์ สิ่งอื่นในรายการนั้น

อ้างสิทธิ์ : สิ่งที่คุณอ้างว่าเป็นจริง นี่อาจเป็นข้อมูลหรือคำอธิบายของการอนุญาตที่คุณอ้างว่ามี ระบบที่คุณนำเสนอข้อเรียกร้องของคุณจะต้องเข้าใจว่าการอ้างสิทธิ์นั้นหมายถึงอะไรและยังสามารถตรวจสอบกับหน่วยงานผู้มีอำนาจ

ผู้มีอำนาจ : ระบบที่ทำให้รายการข้อเรียกร้องของคุณเข้าด้วยกันและลงนามซึ่งโดยทั่วไปจะกล่าวว่า "ในสิทธิ์ของฉันทุกสิ่งในรายการนี้เป็นความจริง" ตราบใดที่ระบบที่อ่านการอ้างสิทธิ์สามารถตรวจสอบกับผู้มีอำนาจว่าลายเซ็นนั้นถูกต้องแล้วทุกอย่างในรายการของการอ้างสิทธิ์จะถูกพิจารณาว่าเป็นของจริงและเป็นของจริง

นอกจากนี้อย่าเรียกว่า "การรับรองความถูกต้องตามการอ้างสิทธิ์" แต่อย่าเรียกว่า "การอ้างสิทธิ์ตามตัวตน" แทน

เทคนิคเพิ่มเติมเล็กน้อย:

ดังนั้นในกระบวนการนี้คุณรับรองความถูกต้องโดยใช้กลไกบางอย่าง (ชื่อผู้ใช้ / รหัสผ่านความลับของลูกค้าใบรับรอง ฯลฯ ) และนั่นทำให้คุณมีโทเค็นที่พิสูจน์ว่าคุณคือคนที่คุณพูด จากนั้นคุณแลกเปลี่ยนโทเค็นการเข้าถึงนั้นเป็นโทเค็น ID กระบวนการนั้นจะใช้ข้อมูลประจำตัวของคุณเพื่อค้นหาและสร้างรายการการอ้างสิทธิ์เซ็นชื่อและส่งคืนโทเค็น ID ที่มีการอ้างสิทธิ์ทั้งหมดของคุณ

ในฐานะขั้นตอนการอนุญาตขึ้นอยู่กับวิธีการนำไปใช้ทรัพยากรจะมองไปที่โทเค็น ID ของคุณ (การอ้างสิทธิ์) จากนั้นตรวจสอบว่าคุณมีสิทธิ์ที่จำเป็นในการเข้าถึงทรัพยากรนั้นหรือไม่

ตัวอย่างเช่นหากทรัพยากร "CastleBlack / CommandersTower" กล่าวว่า "คุณต้องเข้าถึง Castle black และเป็นผู้บัญชาการท่านก็จะดูรายการการเรียกร้องเพื่อดูว่าสิ่งเหล่านั้นเป็นจริงหรือไม่

อย่างที่คุณเห็น "การเรียกร้อง" สามารถเป็นอะไรก็ได้ มันสามารถเป็นบทบาทมันสามารถเป็นจริงก็สามารถเป็นธง เป็นเพียงรายการคู่คีย์ - ค่าและ "ค่า" เป็นทางเลือก บางครั้งมันเป็นเพียงการดูว่าการเรียกร้องที่มีอยู่:

claims : [
    {"type": "name", "value": "Jon Snow"},
    {"type": "home", "value": "Winterfell, The North, Westeros"},   
    {"type": "email", "value": "jon@nightswatch-veterans.org"},
    {"type": "role", "value": "veteran;deserter;"},
    {"type": "department", "value": "none"},    
    {"type": "allowEntry", "value": "true"},
    {"type": "access", "value": "castleblack;eastwatch;"}
]

ดังนั้นหากจอนเข้าสู่ระบบและพยายามเข้าถึงทรัพยากรที่อธิบายไว้ข้างต้นเขาจะถูกปฏิเสธเพราะในขณะที่เขาเป็นคนที่เขาบอกว่าเขาเป็นและเขาสามารถเข้าถึงปราสาทแบล็กได้เขาไม่ได้เป็นผู้บังคับบัญชาของลอร์ดอีกต่อไป หอคอยผู้บัญชาการและไม่สามารถเข้าไปในหอผู้บังคับการโดยปริยาย

โดยเฉพาะอย่างยิ่ง "CastleBlack" อาจเป็นขอบเขต [ใหญ่กว่า] และแต่ละพื้นที่จะได้รับอนุญาตเฉพาะ แต่เป็นการอภิปรายที่แตกต่างกัน

แอปพลิเคชันแต่ละข้อเกี่ยวข้องกับการเข้าถึงจะแตกต่างกันอย่างไร แต่จะใช้การเรียกร้องให้ทำ

พิจารณาว่าการอ้างสิทธิ์เป็นคุณสมบัติที่บอกอะไรคุณเกี่ยวกับผู้ใช้ (ชื่ออายุเชื้อชาติ ฯลฯ ) คุณทำงานกับบริการโทเค็นความปลอดภัยเพื่อตรวจสอบความถูกต้องของการเรียกร้องเหล่านั้นและใช้พวกเขาสำหรับการอนุมัตินอกเหนือจากการตรวจสอบ

ข้อความที่ตัดตอนมาต่อไปนี้นำมาจาก Wikipedia ( http://en.wikipedia.org/wiki/Claims-based_identity ) และการเปรียบเทียบที่ดีที่สุดที่ฉันพบ

"เพื่อให้เข้าใจแนวคิดเกี่ยวกับบริการโทเค็นความปลอดภัยให้พิจารณาการเปรียบเทียบของไนท์คลับกับคนเฝ้าประตูคนเฝ้าประตูต้องการป้องกันไม่ให้ผู้อุปถัมภ์อายุต่ำกว่าเข้ามาเพื่ออำนวยความสะดวกในสิ่งนี้เขาขอให้ผู้อุปถัมภ์นำเสนอใบขับขี่ หรือบัตรประจำตัวอื่น ๆ (โทเค็น) ที่ได้รับการออกโดยบุคคลที่สามที่เชื่อถือได้ (บริการโทเค็นความปลอดภัย) เช่นแผนกใบขับขี่รถยนต์จังหวัดหรือของรัฐกรมอนามัยหรือ บริษัท ประกันภัยดังนั้นไนท์คลับจึงช่วยลดความรับผิดชอบในการกำหนดผู้อุปถัมภ์ อายุเท่านั้นที่จะต้องเชื่อมั่นในอำนาจออก (และแน่นอนทำให้การตัดสินใจของตัวเองของความถูกต้องของโทเค็นที่นำเสนอ) ด้วยสองขั้นตอนเหล่านี้เสร็จสิ้นไนต์คลับได้รับรองความถูกต้องผู้มีพระคุณเกี่ยวกับการอ้างว่าเขาหรือเธอ อายุการดื่มตามกฎหมาย

ต่อเนื่องการเปรียบเทียบไนท์คลับอาจมีระบบสมาชิกและสมาชิกบางคนอาจเป็นประจำหรือวีไอพี คนเฝ้าประตูอาจขอโทเค็นอื่นบัตรสมาชิกซึ่งอาจทำการเรียกร้องอื่น; ว่าสมาชิกคือวีไอพี ในกรณีนี้ผู้มีอำนาจออกตั๋วที่เชื่อถือได้ของโทเค็นน่าจะเป็นสโมสรเอง หากบัตรสมาชิกอ้างว่าผู้อุปถัมภ์เป็นวีไอพีสโมสรสามารถตอบสนองตามนั้นแปลการอ้างสิทธิ์สมาชิกวีไอพีที่ได้รับการรับรองความถูกต้องเช่นการอนุญาตให้อุปถัมภ์นั่งในพื้นที่เลานจ์พิเศษและรับบริการเครื่องดื่มฟรี "