고유 항목에 대한 인증을 허용하는 WIF 용 사용자 지정 인증 공급자 만들기

Question

우리는 연합 된 ID 관리를 구현하고 사용자가 고유하게 식별 된 항목에 대해 인증해야하는 시나리오가 있습니다. 예를 들어 밥 제인 레코드 12345, 34444에 대한 읽기/쓰기 액세스 권한이 있습니다 동안 기록 12345, 34444, 23443 및 23443에 대한 액세스 권한을 읽고, 23443 및 56445.

을 기록 읽기 액세스 권한이 있습니다 나는 두 가지 질문이 있습니다

1. 누군가가 100,000 개의 개별 레코드에 액세스 할 수 있다고 가정 해 보겠습니다. 클레임 기반 보안을 사용하면 들어오는 보안 토큰에 이러한 모든 클레임이 포함되어 있음을 이해합니다. 토큰의 크기가 문제가 될 수 있습니까?

2. 인증 관리를위한 관리 시스템을 만드는 데 많은 지침이 필요하지 않습니다. 즉, 인증 된 레코드에 사용자를 할당하는 것과 관련해서는 많은 안내가 없습니다. 가능한 한 선언적으로 선언 할 수 있도록하는 데 많은 조언을 얻지 만 가능하지 않을 때해야 할 일에 대해서는 많이 알지 못합니다.

모든 조언이나 방향에 대해 감사드립니다.

Answer 1

# 1 : 예, 소유권 주장을 소유권 주장으로 모델링하는 경우 잠재적으로 매우 큰 토큰으로 끝날 수 있습니다 (예 : 사용자가 액세스 할 수있는 각 레코드에 대한 소유권 주장). 100,000 개의 레코드가있는 경우 잠재적으로 100,000 개의 주장으로 끝날 수 있습니다.

클레임의 "세분성"은 "의존적 인"주제 중 하나입니다. 일반적으로 클레임을 "굵은"상태 (예 : 그룹, 역할, 조직 등)로 유지하고 앱에 세분화 된 권한을 연결합니다 (선언적으로 구현할 수 있음).

또한 "토큰으로 전달할 정보에 대한 권한은 누구입니까?"라는 질문을하는 것이 좋습니다. "사용자 x가 레코드 23455 및 2456을 읽을 수있는 권한"이라는 지식이 응용 프로그램마다 다르면 STS가 아니라 응용 프로그램에 속합니다.