2. Концепции идентификации
На практике аутентификация и проверка полномочий (authorization) может включать множество объектов проверки тождественности, возможно в разных формах (простые имена пользователей — username, Kerberos principal, X.500 Distinguished Name и т.п.) и с различным представлением (например строки ABNF в кодировке UTF-8, Distinguished Name в кодировке BER). Хотя технические спецификации часто описывают форму и представление объектов идентификации, используемых в сети, реализации могут использовать различные формы объектов и/или варианты их представления. Отношения между объектами идентификации различных форм в общем случае определяются локально. Используемые реализацией формы и варианты представления объектов также определяются локально самой реализацией.
Однако концептуально схема SASL включает два объекта идентификации:
- идентификация, связанная с предъявленными при аутентификации полномочиями (authentication credentials), обозначаемая термином authentication identity (аутентификационная идентификация), and
- идентификация при проверке полномочий, обозначаемая термином authorization identity.
Спецификации механизмов SASL описывают форму полномочий (например, сертификаты X.509, ярлыки Kerberos, простые пары username/password), предъявляемых при аутентификации клиента, включая (когда это приемлемо) синтаксис и семантику объектов идентификации, передаваемых в свидетельствах полномочий (credentials). Спецификации протокола SASL описывают форму объектов идентификации, используемых при проверке полномочий (authorization) и, в частности, синтаксис и семантику строк объектов идентификации, передаваемых механизмами.
Клиент представляет свидетельства полномочий (которые включают или подразумевают authentication identity) и, возможно, символьную строку, представляющую запрашиваемую как часть обмена SASL аутентифкационную идентификацию. Когда эта строка отсутствует или пуста, это говорит о том, что клиент запрашивает использование идентификации, связанной с предъявленными полномочиями (например, пользователь просит принять authentication identity).
Сервер отвечает за проверку того, что предъявленные клиентом свидетельства и идентификация, связанная с этими свидетельствами клиента (например, authentication identity), может использоваться как идентификация при проверке полномочий. Обмен SASL прерывается отказом при отрицательном результате любой из этих проверок (обмен SASL может также прерываться отказом по иным причинам, например, в результате отказа службы проверки полномочий).
Однако конкретные формы authentication identity (используемые сервером для верификации) и authorization identity (используемые для проверки полномочий) не входят в спецификацию SASL. В некоторых случаях конкретные формы идентификации, используемые в том или ином контексте за пределами обмена SASL, могут диктоваться другими спецификациями. Например, спецификация правил identity assumption authorization (proxy authorization) может задавать представление идентификации при проверке полномочий и аутентификации в правилах политики.