0

フェデレーション ID 管理を実装しており、ユーザーが一意に識別されたアイテムに対して認証する必要があるシナリオがあります。たとえば、ボブはレコード 12345、34444、23443、および 23443 への読み取りアクセス権を持ち、ジェーンはレコード 12345、34444、および 23443 への読み取り/書き込みアクセス権と、レコード 56445 への読み取りアクセス権を持っている場合があります。

2 つの質問があります。

  1. たとえば、誰かが 100 から 1000 の個別の一意のレコードにアクセスできるとします。クレーム ベースのセキュリティでは、受信するセキュリティ トークンにこれらすべてのクレームが含まれることを理解しています。トークンのサイズは問題になりますか?

  2. 承認を管理するための管理システムの作成に関するガイダンスはあまり見当たりません。つまり、私たちの場合、認証されたレコードにユーザーを割り当てることです。許可を可能な限り宣言的にすることについてのアドバイスはたくさんありますが、それが不可能な場合にどうすればよいかについてのアドバイスはあまりありません。

アドバイスや指示は大歓迎です。

4

1 に答える 1

1

#1: はい、資格をクレームとしてモデル化している場合 (たとえば、ユーザーがアクセスできる各レコードのクレーム)、非常に大きなトークンになる可能性があります。100,000 件のレコードがある場合、最終的に 100,000 件のクレームになる可能性があります。

クレームの「粒度」は、「依存する」トピックの 1 つです。一般に、クレームを「大まかに」 (グループ、ロール、組織など) 保持し、それらをアプリ内のきめ細かいアクセス許可に関連付けることをお勧めします (宣言的に実装することもできます)。

また、「トークンで伝達される情報の権威は誰ですか?」という質問をすることをお勧めします。「ユーザー x にはレコード 23455 および 2456 を読み取る資格がある」という知識がアプリケーション固有のものである場合、それは STS ではなくアプリに属します。

于 2011-08-31T15:46:29.423 に答える