Azure AD:基于声明的验证和授权
概念:
-
用户及其属性:用户指的是要使用某项服务的个体,其属性是指与之相关的用户名、角色、邮件地址等;
-
声明(Claim):对某个个体的某项属性的一个确定的陈述(Assertion),例如,这个用户是Jeffrey
-
安全令牌(Security Token):声明的集合,一般经过签名(Signature)和加密(Encryption)操作以保证信息的完整、真实、保密和自身不可复制性;
-
服务提供方(Service Provider)/依赖方(Replying Party):服务提供方是要被访问的服务,通常被称为依赖方,以表明服务依赖于第三方提供验证和授权;
-
身份提供方(Identity Provider):提供用户验证、发放安全令牌的服务。服务提供方和身份提供方的关系是,前者依赖于后者来进行用户的身份验证,并根据后者所提供的声明来对用户进行授权,它们之间的协议有ws-Federation、SAML、OpenID Connect等;
-
信任(Trust):服务提供方和身份提供方之间的信任关系,它们之间的相互信任组成了一个信任圈(Circle of Trust),在这个圈内可以实现所谓单点登陆(SSO)的功能,用户只需要在身份提供方登陆一次,就可以访问与身份提供方相互信任的服务提供方;
-
验证(Authentication):确认个体属性的过程,通常需要被验证个体提供某种身份证明,有的服务提供方还需要个体提供多种验证方式,也就是多重验证(Multi-factor Authentication),反之,如果不需要对用户进行验证,则是所谓的允许匿名访问(Anonymous Access);
-
授权(Authorization):确认个体是否有请求某项服务的权限。
基本流程和文档:
-
OpenID Connect验证协议,参考:https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-protocols-oidc
-
Graph API接口:服务提供方使用Graph API可以对目录的数据和对象执行CRUD(Create、Read、Update和Delete)操作,参考:https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-graph-api
参考:《Windows Azure实战》