Anspråksbaserad identitet
Anspråksbaserad identitet är ett vanligt sätt för applikationer att skaffa den identitetsinformation de behöver om användare inom sin organisation, i andra organisationer och på Internet. Det ger också ett konsekvent tillvägagångssätt för applikationer som körs på plats eller i molnet . Fordringsbaserad identitet abstraherar de individuella delarna av identitet och åtkomstkontroll i två delar: ett begrepp om anspråk och begreppet en utfärdare eller en myndighet.
Identitet och påståenden
Ett påstående är ett uttalande som ett ämne, till exempel en person eller organisation, gör om sig själv eller ett annat ämne. Till exempel kan uttalandet handla om ett namn, en grupp, köppreferens, etnicitet , privilegium, association eller förmåga. Den som gör anspråket eller anspråken är leverantören. Anspråk paketeras i en eller flera tokens som sedan utfärdas av en utfärdare (leverantör), allmänt känd som en säkerhetstokentjänst (STS).
Namnet "anspråksbaserad identitet" kan vara förvirrande till en början eftersom det verkar som en felaktig benämning. Att koppla begreppet anspråk till begreppet identitet verkar vara att kombinera autentisering (identitetsbestämning) med auktorisation (vad den identifierade subjekten får och inte får göra). Men en närmare granskning visar att så inte är fallet. Påståenden är inte vad försökspersonen kan och inte kan göra. De är vad ämnet är eller inte är. Det är upp till den ansökan som tar emot det inkommande kravet att kartlägga är/är-anspråken till ansökningens får/får inte-regler. I traditionella system råder ofta förvirring om skillnader och likheter mellan vad en användare är/inte är och vad användaren får/får inte göra. Anspråksbaserad identitet gör den distinktionen tydlig.
Säkerhetstokentjänst
När skillnaden mellan vad användaren är/inte är och vad användaren får/inte får göra är klarlagt är det möjligt att autentiseringen av vad användaren är/inte är (anspråken) kan hanteras av en tredje part. Denna tredje part kallas säkerhetstokentjänsten. För att bättre förstå konceptet med säkerhetstokentjänst, överväg analogin med en nattklubb med en dörrvakt. Dörrvakten vill hindra minderåriga besökare från att komma in. För att underlätta detta ber han en kund att uppvisa ett körkort, sjukförsäkringskort eller annan identifiering (token) som har utfärdats av en betrodd tredje part (säkerhetstokentjänsten) såsom provinsens eller statliga fordonslicensavdelningen, hälsoavdelningen eller försäkringsbolag. Nattklubben är därmed befriad från ansvaret att fastställa patronens ålder. Den behöver bara lita på den utfärdande myndigheten (och givetvis göra sin egen bedömning av äktheten av den presenterade token). Med dessa två steg genomförda har nattklubben framgångsrikt autentiserat beskyddaren med avseende på påståendet att han eller hon är i laglig ålder för att dricka.
Om man fortsätter analogin kan nattklubben ha ett medlemssystem och vissa medlemmar kan vara vanliga eller VIP. Dörrvakten kan be om en annan pollett, medlemskortet, vilket kan göra ett nytt anspråk; att medlemmen är en VIP. I det här fallet skulle den pålitliga utfärdande myndigheten för token förmodligen vara klubben själv. Om medlemskortet gör anspråk på att beskyddaren är en VIP, kan klubben reagera därefter och översätta det autentiserade VIP-medlemskapsanspråket till ett tillstånd som att beskyddaren får sitta i det exklusiva loungeområdet och serveras gratis drinkar. Observera att inte all användning av termen "autentisering" inkluderar anspråksförvärv. Den enda skillnaden är att autentisering är begränsad till bindning av användaren till informationen som finns om användaren på målplatsen eftersom ingen attributdata (anspråk) krävs för att slutföra en autentisering. När integritetsfrågor blir allt viktigare blir digitala enheters förmåga att autentisera användare utan tillgång till personliga attribut allt viktigare.
Fördelar
Anspråksbaserad identitet har potentialen att förenkla autentiseringslogiken för enskilda program, eftersom dessa program inte behöver tillhandahålla mekanismer för kontoskapande, lösenordsskapande, återställning och så vidare. Dessutom gör anspråksbaserad identitet applikationer att veta vissa saker om användaren, utan att behöva förhöra användaren för att fastställa dessa fakta. Fakta, eller påståenden, transporteras i ett "kuvert" som kallas en säker token.
Anspråksbaserad identitet kan avsevärt förenkla autentiseringsprocessen eftersom användaren inte behöver logga in flera gånger på flera applikationer. En enkel inloggning skapar token som sedan används för att autentisera mot flera applikationer eller webbplatser. Dessutom, eftersom vissa fakta (påståenden) är förpackade med token, behöver användaren inte berätta för varje enskild applikation dessa fakta upprepade gånger, till exempel genom att svara på liknande frågor eller fylla i liknande formulär.