Espero entender el concepto de reclamaciones en general ahora, después de leer artículos relacionados con ADFS, certificados utilizados para la firma de tokens de reclamaciones, etc. Pero esto es lo que me resulta extraño:
Las reclamaciones son tan abstractas que en general las formas son básicamente inútiles para cualquier otra cosa que no sea la autenticación. No hay datos fijos que deban contener las reclamaciones y puedo confiar en . Todo depende de la voluntad del emisor para proporcionar esa información y no está bajo nuestro control [fuente: "Markus dice" en la sección "Lo que hace una buena reclamación" de artículo de descripción general de reclamaciones en MSDN].
Consideremos Ejemplo simple , usado en una de las muestras de autorización que encontré: si las reclamaciones contienen información sobre el usuario age > 65
, se le permite visitar la sección de retiros del sitio.
Pero ¿y si no contiene esa información? Y es muy probable que en algún momento comencemos a respaldar al emisor de reclamaciones adicionales que no proporcionará dicha información. Lo mismo se puede decir sobre la membresía del grupo de administradores o cualquier otra reclamación.
También, puedo imaginar una situación en la que Facebook proporcione un 'grupo' de reclamos con la lista de miembros de los grupos de Facebook (que pueden editarse fácilmente y llamarse "Administradores"), mientras que Active Directory usa el mismo nombre de reclamo para proporcionar información sobre el dominio grupos Así que creo que debe haber algún punto en la consolidación de esos datos, algún puente para llenar los vacíos y la creación de una aplicación de reclamos que pueda utilizar . La ilustración del artículo de descripción general de reclamaciones indica algún proceso " Recopilar información ", que podría ser lo que estoy pensando, pero no lo cubre con explicación y no parece ser específico de la aplicación:
¿Me estoy perdiendo algo?
PS : actualmente en mi aplicación, uso Nombre de usuario, teléfono, departamento, membresía de grupos y otra información de Active Directory y me preocupa si puedo confiar en Eso después de implementar el soporte de autenticación ADFS. Probablemente no, pero al mismo tiempo tengo que obtener esa información de alguna manera.