Для некоторых приложений работа с удостоверениями пользователей выполняется просто. Windows-приложению, доступ к которому имеют только пользователи одной организации, не требуется большой объем сведений о таких пользователях. В таком приложении для проверки подлинности пользователей и передачи базовых сведений о них можно использовать Kerberos, компонент доменных служб Active Directory (AD DS). Рассмотрим приложение, с которым работают только пользователи Интернета. Такое приложение может просто требовать от пользователей ввода имени и пароля и сохранять эти сведения в базе данных.

Однако в большинстве приложений работа с удостоверениями пользователей реализована намного сложнее. Рассмотрим приложение, которому требуется больше сведений о каждом пользователе, чем может предоставить Kerberos или сочетание имени пользователя и пароля. Приложению придется получать эти сведения из другого источника, например из доменных служб Active Directory, или хранить эти сведения самостоятельно. Рассмотрим приложение, доступ к которому необходимо предоставить как сотрудникам организации, так и пользователям Интернета. Такое приложение должно поддерживать вход в систему как с помощью Kerberos, так и путем ввода имени пользователя и пароля. Наконец, рассмотрим приложение, доступ к которому должен осуществляться из другой организации без использования отдельного входа. Подобную федерацию удостоверений невозможно эффективно реализовать с помощью Kerberos или имени пользователя и пароля.

На приведенной ниже схеме проиллюстрирована проблема с приемниками команд удостоверений в типичной организации. Как видно из схемы, пользователь вынужден по отдельности входить в различные приложения даже в своем собственном домене, не говоря уже о приложениях в других доменах.

Приемники команд удостоверения

Удостоверения на основе утверждений обеспечивают единый подход к решению этой проблемы, работающий во всех перечисленных сценариях. Этот подход основан на широко используемых отраслевых стандартах, позволяющих преодолеть границы между платформами и организациями. Этот подход также широко применяется в продуктах различных поставщиков и прост в использовании для разработчиков.