Beispielablauf für die Basisauthentifizierung

Das folgende Diagramm stellt den Austausch von Authentifizierungs- und Autorisierungsinformationen bei der Basisauthentifizierung dar. Die Farben stehen für Folgendes:

  • Orange: Anmeldeinformationen
  • Blau: Endpunktzugriffsinformationen
  • Grün: Ressourcenzugriffsinformationen
  • Rot: Proxy-Benutzer- und Sitzungsinformationen

Einige Werte werden verwendet, um mehrere Zugriffsarten zu bestimmen. Diese Werte erscheinen zunächst in schwarz (wenn sie nicht für einen speziellen Zugriffstyp gelten) und dann später in einer oder mehreren bestimmten Farben (als Identifizierung des Werts, der zu diesem Zeitpunkt im Prozess für eine bestimmte Zugriffsart verwendet wird).

Im folgenden Beispiel wird ein API-Aufruf von Andy Applegate ausgelöst, einem internen Benutzer, der eine browserbasierte Anwendung mit Basisauthentifizierung verwendet.


Authentifizierungsablauf bei der Basisauthentifizierung
  1. Wenn Andy einen API-Aufruf auslöst, sendet die aufrufende Anwendung die API-Anforderung an ClaimCenter. Der Anforderungsheader enthält eine Base64-codierte Version des Benutzernamens (aapplegate@acme.com) und des Passworts (aPassword).
  2. ClaimCenter authentifiziert den Benutzer und bestimmt den Endpunktzugriff.
    1. Ausgehend von dem Benutzernamen im Anforderungsheader (aapplegate@acme.com) fragt ClaimCenter die Benutzertabelle ab.
    2. ClaimCenter authentifiziert den Benutzer durch Überprüfung der Übereinstimmung von Benutzername und Kennwort.
    3. ClaimCenter antwortet mit den Benutzerrollen dieses Benutzers. Eine Rolle wird zurückgegeben: Adjuster.
  3. Basierend auf der zurückgegebenen Rolle wird die Adjuster.role.yaml-API-Rollendatei verwendet, um den Endpunktzugriff zu definieren.
  4. Als Nächstes bestimmt ClaimCenter die Ressourcenzugriffsstrategie. Da der Aufruf über eine Basisauthentifizierung läuft, gewährt ClaimCenter den Ressourcenzugriff, wie in der internal access.yaml-Datei definiert. (* ClaimCenter beginnt mit internal_ext-1.0.access.yaml, aber diese Datei verweist auf zusätzliche access.yaml-Dateien, deren Namen mit „internal“ beginnen.)
  5. Der Proxy-Benutzerzugriff ist für die Basisauthentifizierung nicht relevant.
  6. ClaimCenter verarbeitet die Anforderung.
    1. Der Sitzungsbenutzer ist der interne Benutzer: aapplegate@acme.com.
    2. Der Endpunktzugriff wird durch die Datei Adjuster.role.yaml definiert.
    3. Der Ressourcenzugriff wird durch die internal access.yaml-Datei mit der Ressourcenzugriffs-ID aapplegate@acme.com definiert.
  7. ClaimCenter stellt die Antwort auf den ersten Aufruf bereit.