ASP.NET Core でのクレームとポリシーに基づく認可

前のユニットでは、多要素認証を有効にする QR コード機能を追加しました。 このユニットでは、要求とポリシーに基づく承認について説明します。

承認と認証

これまでに ID について学んだことはすべて、 認証に関する情報でした。 認証は、ユーザーが自分の主張するユーザーであることが確認されるプロセスです。

サインイン フォームについて考えてみましょう。 フォームにユーザー名を入力すると、自分であると主張します。 このフォームは、パスワードを確認することで、あなたを本人として認証します。

承認 とは、認証されたユーザーが実行できる操作を決定するプロセスを指します。 たとえば、管理画面は、 IsAdmin=Trueの要求を持つユーザーに限定される場合があります。 要求は ID に関連付けられているため、認証なしで承認を行う必要はありません。

主張とポリシーに基づく認可

クレームは、サブジェクトが何であるかを説明する名前と値のペアであり、できることではありません。 要求は信頼された機関によって割り当てられ、承認ポリシーを適用するために使用されます。

政府発行の ID について考えてみましょう。 IDにあなたの属性が表示されます。 これらはクレームです。 関係者は、ID を観察し、そのソースと信頼性を確認し、属性に基づいて決定を行うことができます。 決定によってポリシーが適用されます。

バーや居酒屋に目を向けて、より具体的な例を見てみましょう。 アリスは大人の飲み物を購入したいと考えています。 バーテンダーは Alice の資格情報を調べ、生年月日の主張を観察します。 その後、その生年月日に基づいてポリシーを適用し、Alice は飲み物を購入する権限を与えます。

概要

このユニットでは、認証と承認の違いについて学習しました。 また、認可のためにポリシーによって要求がどのように使用されるかについても学習しました。 次のユニットでは、ID を使用して要求を格納し、条件付きアクセスのポリシーを適用できます。