5-वर्षीय को "दावे-आधारित प्रमाणीकरण" समझाएं

ठीक है, एक 5 साल की उम्र के लिए नहीं, लेकिन अगर संभव हो तो buzzword और enterprisespeak से बचें।

दावा-आधारित प्रमाणीकरण अब सभी क्रोध प्रतीत हो रहा है, लेकिन मुझे वास्तव में क्या है, यह कैसे है, यह इससे अलग नहीं है कि इसका एक सरल और डाउन-टू-अर्थ स्पष्टीकरण नहीं मिल सका (मुझे लगता है कि अब हमारे पास क्या है) भूमिका-आधारित प्रमाणीकरण होना), इसके उपयोग के क्या लाभ हैं, आदि।

@ मार्निक्स के पास बहुत अच्छा जवाब है, लेकिन इसके तकनीकी पहलू से दूर जाने के लिए:

दावे आधारित प्रमाणीकरण को परिभाषित करने के बारे में है जिसे आप पहचान के बारे में सटीक जानकारी देने के लिए विश्वास करते हैं, और केवल उस जानकारी का उपयोग करके। मेरा () गो-टू उदाहरण एक बार में है। एक पल के लिए कल्पना करें कि आप बार में बीयर प्राप्त करना चाहते हैं। सिद्धांत रूप में बारटेंडर से आपको उम्र का प्रमाण मांगना चाहिए। आप इसे कैसे साबित करेंगे? खैर, एक विकल्प यह है कि बारटेंडर आपको आधे में काटे और अंगूठियों की संख्या गिनें, लेकिन इसके साथ कुछ समस्याएं हो सकती हैं। दूसरा विकल्प यह है कि आप अपने जन्मदिन को एक कागज के टुकड़े पर लिखें, जिस पर बारटेंडर अनुमोदन या अस्वीकृति करता है। तीसरा विकल्प सरकार के पास जाना है, एक आईडी कार्ड प्राप्त करना है, और फिर बारटेंडर को आईडी प्रस्तुत करना है।

कुछ लोग कागज के एक टुकड़े पर अपना जन्मदिन लिखने के विचार पर हंस सकते हैं, लेकिन यह तब होता है जब आप उपयोगकर्ताओं को आवेदन के भीतर ही प्रमाणित कर रहे हैं क्योंकि यह कागज के टुकड़े पर भरोसा करने के लिए बारटेंडर (या आपके आवेदन) पर निर्भर है। । हालाँकि, हमें सरकार के इस दावे पर भरोसा है कि आईडी पर जन्मदिन मान्य है, और आईडी पेय का अनुरोध करने वाले व्यक्ति के लिए है। सभी इरादों और उद्देश्यों के लिए, बारटेंडर (या एप्लिकेशन) वास्तव में परवाह नहीं करता है कि ट्रस्ट के कारण प्रमाणीकरण कैसे हुआ। बारटेंडर आपके जन्म की तारीख को छोड़कर आपके बारे में कुछ नहीं जानता है क्योंकि सभी बारटेंडर को पता होना चाहिए। अब, बारटेंडर आपके पसंदीदा पेय की तरह उनके लिए महत्वपूर्ण जानकारी को संग्रहीत कर सकता है, लेकिन सरकार को इसकी परवाह नहीं है (क्योंकि यह आधिकारिक स्रोत नहीं है),

CBA की कुंजी "पहचान का आधिकारिक स्रोत कौन है?"

(इस पर मेरी निजी राय है, अन्य भिन्न हो सकते हैं। कृपया अन्य उत्तरों के रूप में अन्य दृष्टिकोण पोस्ट करें।)

प्रमाणीकरण / प्राधिकरण को एक अलग (वेब) सेवा में बदलकर, दावा-आधारित पहचान / प्रमाणीकरण / प्रमाणीकरण उपयोगकर्ता प्राधिकरण और उपयोगकर्ता साइन-इन के रखरखाव को अलग करने के बारे में है।

उदाहरण के लिए, जब मैं पहली बार दावा-सक्षम वेब एप्लिकेशन पर ब्राउज़ करता हूं, तो यह मेरे ब्राउज़र को एक 'लॉगऑन सेवा' पर पुनर्निर्देशित करेगा, जिस पर वह भरोसा करता है। मैं उस सेवा (विंडोज प्रमाणीकरण, एक स्मार्ट कार्ड, या जो भी हो) का उपयोग करके प्रमाणित करूंगा, और इसके जवाब में यह एक 'टोकन' भेजता है, जिसे ब्राउज़र वेब अनुप्रयोग पर वापस भेजता है। अब वेब एप्लिकेशन यह जांचता है कि टोकन अपनी विश्वसनीय लॉगऑन सेवा द्वारा डिजिटल रूप से हस्ताक्षरित है, और फिर टोकन में 'दावों' को देखता है। विशुद्ध रूप से उन दावों के आधार पर, एप्लिकेशन यह तय करता है कि उपयोगकर्ता को किस कार्यक्षमता की पेशकश की गई है।

दावों में लगभग हमेशा उपयोगकर्ता की पहचान शामिल होगी, अक्सर प्राधिकरण से संबंधित दावे भी होते हैं ('यह उपयोगकर्ता बिक्री डेटा देख सकता है, लेकिन इसे अपडेट नहीं कर सकता'), और कभी-कभी अन्य जानकारी ('जूता आकार = 42') भी।

मुख्य बिंदु यह है कि एप्लिकेशन को यह नहीं पता है और न ही परवाह है कि उपयोगकर्ता को कैसे प्रमाणित किया गया था, और न ही प्राधिकरण कैसे प्रशासित हैं: यह केवल हस्ताक्षरित टोकन में दावों से जानकारी का उपयोग करता है यह निर्धारित करने के लिए कि उपयोगकर्ता कौन है और / या उपयोगकर्ता क्या हो सकता है उपयोगकर्ता के बारे में कोई अन्य जानकारी देखें या करें और / या करें।

(हां, मैं यहां 5 साल का एक बहुत बुद्धिमान और जानकार हूं। :-)

निम्नलिखित वास्तविक दुनिया उदाहरण ए गाइड से दावा-आधारित पहचान और अभिगम नियंत्रण (2 डी संस्करण) के लिए लिया गया है ।

एक बहुत ही परिचित सादृश्य प्रमाणीकरण प्रोटोकॉल है जिसे आप हर बार हवाई अड्डे पर जाते हैं । आप बस गेट तक नहीं जा सकते और अपना पासपोर्ट या ड्राइवर का लाइसेंस पेश नहीं कर सकते। इसके बजाय, आपको पहले टिकट काउंटर पर चेक करना होगा। यहाँ, आप जो कुछ भी समझ में आता है उसे प्रस्तुत करते हैं। यदि आप विदेश जा रहे हैं, तो आप अपना पासपोर्ट दिखाएं। घरेलू उड़ानों के लिए, आप अपने ड्राइवर का लाइसेंस प्रस्तुत करते हैं। यह सत्यापित करने के बाद कि आपकी तस्वीर आईडी आपके चेहरे ( प्रमाणीकरण ) से मेल खाती है , एजेंट आपकी उड़ान को देखता है और सत्यापित करता है कि आपने टिकट ( प्राधिकरण ) के लिए भुगतान किया है । यह मानते हुए कि सभी क्रम में हैं, आपको एक बोर्डिंग पास मिलता है जिसे आप गेट पर ले जाते हैं।

एक बोर्डिंग पास बहुत जानकारीपूर्ण है। गेट एजेंट आपके नाम और बार-बार उड़ने वाले नंबर (प्रमाणीकरण और निजीकरण), आपकी उड़ान संख्या और बैठने की प्राथमिकता (प्राधिकरण), और शायद और भी अधिक जानते हैं। गेट एजेंटों के पास वह सब कुछ है जो उन्हें कुशलतापूर्वक अपना काम करने की आवश्यकता है।

बोर्डिंग पास पर भी विशेष जानकारी है। यह बार कोड और / या पीछे की तरफ चुंबकीय पट्टी में एन्कोडेड है। यह जानकारी (जैसे एक बोर्डिंग सीरियल नंबर) साबित करता है कि पास एयरलाइन द्वारा जारी किया गया था और यह जालसाजी नहीं है।

संक्षेप में, एक बोर्डिंग पास आपके बारे में एयरलाइन द्वारा किए गए दावों का एक हस्ताक्षरित सेट है । इसमें कहा गया है कि आपको किसी विशेष समय पर किसी विशेष उड़ान में बैठने और किसी विशेष सीट पर बैठने की अनुमति है। बेशक, एजेंटों को इस बारे में बहुत गहराई से सोचने की जरूरत नहीं है। वे बस आपके बोर्डिंग पास को मान्य करते हैं, उस पर दावे को पढ़ते हैं, और आपको विमान पर चढ़ने देते हैं।

यह भी ध्यान रखना महत्वपूर्ण है कि दावों के हस्ताक्षरित सेट को प्राप्त करने का एक से अधिक तरीका हो सकता है जो आपका बोर्डिंग पास है। आप हवाई अड्डे पर टिकट काउंटर पर जा सकते हैं, या आप एयरलाइन की वेब साइट का उपयोग कर सकते हैं और घर पर अपना बोर्डिंग पास प्रिंट कर सकते हैं। फ्लाइट में सवार गेट एजेंट्स को परवाह नहीं है कि बोर्डिंग पास कैसे बनाया गया था; उन्हें परवाह नहीं है कि आपने किस जारीकर्ता का उपयोग किया है, जब तक कि यह एयरलाइन द्वारा विश्वसनीय नहीं है। वे केवल इस बात का ध्यान रखते हैं कि यह दावों का एक प्रामाणिक सेट है जो आपको विमान पर चढ़ने की अनुमति देता है।

सॉफ्टवेयर में, दावों के इस बंडल को सुरक्षा टोकन कहा जाता है । प्रत्येक सुरक्षा टोकन को जारीकर्ता द्वारा हस्ताक्षरित किया जाता है जिसने इसे बनाया था। दावों पर आधारित एप्लिकेशन उपयोगकर्ताओं को एक विश्वसनीय जारीकर्ता से वैध, हस्ताक्षरित सुरक्षा टोकन प्रस्तुत करने पर प्रमाणित करने पर विचार करता है ।

5 साल के लड़के के लिए, उसे अपने माता-पिता द्वारा आवेदन पर हस्ताक्षर करके एक नए स्कूल में शामिल होने के लिए कहें। अपने आवेदन के लिए स्कूल प्रबंधन से अनुमोदन के बाद, उसे एक एक्सेस कार्ड मिलता है जिसमें नीचे दी गई सभी जानकारी होती है जिसे हम स्कूल में प्रवेश करने के लिए इसे CLAIMS कह सकते हैं।

1. BOY का नाम BOB है।
2. SCHOOL का नाम MONTISSORI हाई स्कूल है
3. कक्षा 8TH ग्रेड है

अपने स्कूल के पहले दिन, जब वह स्कूल में चलता है, तो उसने अपना एक्सेस कार्ड स्वाइप किया और गेट खोल दिए, इसका मतलब है कि वह स्कूल के एक व्यक्ति के रूप में CLAIMED हो गया है। इस तरह वह स्कूल में प्रवेश करने के लिए एक अधिकृत व्यक्ति है।

अपनी कक्षा में पहुंचने के बाद, उन्होंने प्रत्येक कक्षा में प्रवेश करने के लिए एक्सेस कार्ड का उपयोग किया, लेकिन 8 वीं कक्षा के कक्षा के दरवाजे खुलते ही उन्होंने 8 वीं कक्षा से पास होने का दावा किया।

स्कूल में, वह अपनी कक्षा में प्रवेश करने के लिए केवल अधिकृत है क्योंकि वह अभी 8 वीं कक्षा की पढ़ाई कर रहा है। और अगर वह 6 वीं कक्षा में प्रवेश करने की कोशिश करता है, तो स्कूल के शिक्षक उसे नहीं समझेंगे।

यथासंभव गैर-तकनीकी:

यदि आप किसी के बारे में कुछ भी वर्णन करने वाले थे कि आप कौन हैं और आपको क्या देखने या करने की अनुमति दी गई है, तो उनमें से प्रत्येक चीज़ कुछ ऐसी होगी जो आप "सच" होने का दावा कर रहे थे, और इस प्रकार उस सूची में प्रत्येक "बात" होगी " दावा"।

कभी भी आप किसी को अपने बारे में या "दावे" के बारे में कुछ बताएं कि आपको कुछ देखने या करने की अनुमति है, तो आप उन्हें अपने दावों की सूची सौंप दें। वे एक प्राधिकरण के साथ सत्यापित करेंगे कि आपके दावे सत्य हैं और यदि वे हैं, तो वे दावों की सूची पर कुछ भी विश्वास करेंगे। इसलिए यदि आप दावा करते हैं कि आप ब्रैड पिट हैं, तो आपके दावों की सूची कहती है कि आप ब्रैड पिट हैं, और यह इस अधिकार के साथ सत्यापित किया गया कि आपके दावे सभी सत्य हैं - फिर वे मानेंगे कि आप ब्रैड पिट हैं उस सूची में कुछ और।

दावा : आप जो दावा करते हैं वह सच है। यह आपके द्वारा दावा की जा रही जानकारी या अनुमति का विवरण हो सकता है। जिस प्रणाली में आप अपने दावे प्रस्तुत करते हैं, केवल यह समझने की आवश्यकता है कि दावा क्या है / मतलब है और प्राधिकरण के साथ सत्यापित करने में भी सक्षम है।

प्राधिकरण : सिस्टम जो आपके दावों की सूची को एक साथ रखता है और उस पर हस्ताक्षर करता है जो मूल रूप से कहता है "मेरे अधिकार पर, इस सूची में सब कुछ सच है।" इसलिए जब तक दावों को पढ़ने वाली प्रणाली प्राधिकरण के साथ सत्यापित कर सकती है कि हस्ताक्षर सही है, तब तक दावों की सूची में सब कुछ प्रामाणिक और सत्य माना जाएगा।

इसके अलावा, चलो इसे "दावे आधारित प्रमाणीकरण" नहीं कहते हैं, इसके बजाय इसे "दावे आधारित पहचान" कहते हैं।

थोड़ा और अधिक तकनीकी:

तो अब इस प्रक्रिया में, आप किसी प्रकार के तंत्र (उपयोगकर्ता नाम / पासवर्ड, ग्राहक रहस्य, प्रमाण पत्र, आदि) का उपयोग करके प्रमाणित करते हैं और इससे आपको एक टोकन मिलता है जो आपको साबित करता है कि आप जो हैं, आप कहते हैं। फिर, आप उस आईडी टोकन के लिए टोकन एक्सेस करते हैं। वह प्रक्रिया दावों की एक सूची को खोजने और बनाने के लिए आपकी पहचान का उपयोग करेगी, उस पर हस्ताक्षर करेगी और फिर आपको एक आईडी टोकन वापस देगी जिसमें आपके सभी दावे हैं।

प्राधिकरण कदम के रूप में , यह कैसे लागू किया जाता है, इसके आधार पर, संसाधन आपके आईडी टोकन (दावों) को देखेगा और फिर जांच करेगा कि आपके पास उस संसाधन तक पहुंचने के लिए आवश्यक दावे हैं या नहीं।

उदाहरण के लिए, यदि संसाधन "CastleBlack / CommandersTower" कहता है कि "आपको महल के काले रंग तक पहुंचना है और स्वामी कमांडर होना है, तो यह आपके दावों की सूची को देखने के लिए जा रहा है कि क्या वे दोनों चीजें सच हैं।

जैसा कि आप देखते हैं, "दावे" कुछ भी हो सकते हैं। यह एक भूमिका हो सकती है, यह एक तथ्य हो सकता है, यह एक झंडा हो सकता है। यह सिर्फ कुंजी-मूल्य वाले जोड़ों की एक सूची है और "मूल्य" वैकल्पिक है। कभी-कभी यह देखने के बारे में होता है कि क्या दावा मौजूद है:

claims : [
    {"type": "name", "value": "Jon Snow"},
    {"type": "home", "value": "Winterfell, The North, Westeros"},   
    {"type": "email", "value": "jon@nightswatch-veterans.org"},
    {"type": "role", "value": "veteran;deserter;"},
    {"type": "department", "value": "none"},    
    {"type": "allowEntry", "value": "true"},
    {"type": "access", "value": "castleblack;eastwatch;"}
]

इसलिए यदि जॉन ने लॉग इन किया और ऊपर वर्णित संसाधन तक पहुंचने की कोशिश करता है, तो उसे इनकार कर दिया जाएगा, क्योंकि वह वह है जो कहता है कि वह है और उसके पास कैसल ब्लैक तक पहुंच है, वह अब प्रभु कमांडर नहीं है और न ही उसके पास स्पष्ट पहुंच है कमांडर का टॉवर, और इस प्रकार स्पष्ट रूप से प्रभु कमांडर टॉवर में प्रवेश नहीं कर सकता है।

अधिक विशेष रूप से, "कैसलबैक" शायद एक [बड़ा] क्षेत्र होगा, और प्रत्येक क्षेत्र एक विशिष्ट अनुमति होगी, लेकिन यह एक अलग चर्चा है।

एक्सेस से संबंधित प्रत्येक एप्लिकेशन अलग-अलग कैसे होगी, लेकिन यह इसे करने के दावों का उपयोग करेगा।

यह दावा करते हुए कि एक दावा एक विशेषता है जो आपको उपयोगकर्ता के बारे में कुछ बताता है (नाम, आयु, जातीयता, आदि) आप उन दावों को मान्य करने के लिए एक सुरक्षा टोकन सेवा के खिलाफ काम करते हैं और प्रमाणीकरण के अलावा प्राधिकरण के लिए भी उनका उपयोग करते हैं।

निम्नलिखित अंश विकिपीडिया ( http://en.wikipedia.org/wiki/Claims-based_identity ) से लिए गए हैं और इसका सबसे अच्छा सादृश्य मुझे अब तक मिला है।

"सुरक्षा टोकन सेवा की अवधारणा को बेहतर ढंग से समझने के लिए, एक डोरमैन के साथ एक नाइट क्लब की उपमा पर विचार करें। डोरमैन कम उम्र के संरक्षकों को प्रवेश से रोकना चाहता है। इसे सुविधाजनक बनाने के लिए वह एक ड्राइवर का लाइसेंस, स्वास्थ्य बीमा कार्ड पेश करने के लिए संरक्षक से अनुरोध करता है। या अन्य पहचान (एक टोकन) जो एक विश्वसनीय थर्ड पार्टी (सिक्योरिटी टोकन सर्विस) द्वारा जारी किया गया है, जैसे प्रांतीय या राज्य वाहन लाइसेंस विभाग, स्वास्थ्य विभाग या बीमा कंपनी। नाइटक्लब इस प्रकार संरक्षक के निर्धारण की जिम्मेदारी से हटा दिया जाता है। उम्र। इसे केवल जारी करने वाले प्राधिकरण पर भरोसा करना होगा (और निश्चित रूप से प्रस्तुत टोकन की प्रामाणिकता का अपना निर्णय करना होगा)। इन दो चरणों के साथ नाइटक्लब ने सफलतापूर्वक संरक्षक को इस दावे के संबंध में प्रमाणित किया है कि वह या वह है। पीने की उम्र।

सादृश्य को जारी रखते हुए, नाइट क्लब में सदस्यता प्रणाली हो सकती है, और कुछ सदस्य नियमित या वीआईपी हो सकते हैं। डोरेमॉन एक और टोकन, सदस्यता कार्ड के लिए कह सकता है, जो एक और दावा कर सकता है; वह सदस्य एक वीआईपी है। इस मामले में टोकन का विश्वसनीय जारीकर्ता प्राधिकारी शायद क्लब ही होगा। यदि सदस्यता कार्ड यह दावा करता है कि संरक्षक वीआईपी है, तो क्लब उसके अनुसार प्रतिक्रिया दे सकता है, प्रमाणित वीआईपी सदस्यता दावे का अनुवाद कर सकता है जैसे संरक्षक को अनन्य लाउंज क्षेत्र में बैठने की अनुमति दी जा रही है और मुफ्त पेय परोसा जा रहा है। "