SharePoint 2010: Claims-based Authentication

基于声明的身份授权模型

SharePoint Server 2010引入了一个全新的、强大的，并且非常灵活的授权模型，可以和企业的任何身份体系相集成，包括：AD，基于LDAP的目录服务，特定应用程序的身份体系，以及新的以用户为中心的身份模型，如LiveID。该模型使用基于声明的授权模式和新产品——Geneva。基于声明的授权模型围绕身份理念构建，并且使用WS-Federation, WS-Trust，以及诸如Security Assertion Markup Language (SAML)等协议构建。

身份是用户信息的集合，包括：名称、邮箱地址、部门等等。事实上，Geneva等同于3套相关的技术：Active Directory Federation Services (以前称为Geneva Server），Windows Cardspace™ (以前称为Cardspace Geneva), 以及Windows Identity Foundation (以前称为Geneva Framework)。

为什么使用这个新的系统？

身份是驱动应用各个关键部分的核心，比如：用户是谁（authentication)，用户拥有什么样的权限(authorization)，以及应用如何与用户进行交互(personalization)等等。当今所有的应用都有身份体系，但都运行在各自的身份体系下。通常，要集成这些应用非常非常困难。

基于声明的身份授权体系为应用提供了一种从组织内、其他组织以及Internet，获取用户身份信息的常规方法。

身份信息包含在security token内（简单来讲，就是Token）。Token包含一个或者多个用户声明。我们可以把基于声明的授权体系理解为用户元数据，而这些数据贯穿于用户访问Session的整个过程。

基于声明的授权体系为SharePoint 2010提供了无限的可能性。我们可以在一个Web应用中灵活地使用多个用户授权体系，然后根据他们的Token提供的身份信息提供更加个性化的访问体验。