マイクロソフトのパターン&プラクティスは、ユーザーにクレームベースのアイデンティティを紹介し、新しいタイプの認証と承認の書き方の例を提示する「クレームベースのアイデンティティとアクセスコントロールガイド」という新しいCodePlexプロジェクトを作成した。
信頼された認証局(発行者)は、クレーム(クレデンシャル)を含む署名されたセキュリティトークンである承認申請書を発行する。申請書が、セキュリティトークンが妥当で信頼された発行者によって署名されている場合、ユーザーを認証する。
クレームベースのアイデンティティでは、ユーザ認証情報を提示してもらい、認証を行う必要がないため、アプリケーションの開発がシンプルになる。その代わり
あなたの会社のセキュリティポリシーを決定する人が、これらのルールを作って、買うか、発行者を構築することができます。あなたのアプリケーションは、搭乗券のようなものを受け取ります。ケルベロス、SSL、フォーム認証、またはもっとエキゾチックな何かなど、どんな認証プロトコルを使っているかは問題ではありません。アプリケーションは、ユーザーに関する必要な情報を持つ署名されたクレームのセットを受け取ります。この情報は、アプリケーションがすぐに使えるシンプルなフォーマットになっています。
発行人は、統合、移行、合併、フェデレーション、クラウドアプリケーションの構築などの、あらゆるセキュリティ問題に関するプロセスを緩和する。また、シングルサインオン(SSO)は、同じ理由から容易に実装できるようになる。ガイドでは仮想の会社が、いかにしてVPNに接続することなく、従業員がアプリケーションを外部接続し、クレームを使用したSSOを実現したかを提示している。
クレームベースのアイデンティティは、セキュリティの推奨のアプローチだが、誰がも使用するのに適切なアプローチであるとはいえない。おそらく、Active Directoryで十分である。
どんな種類のクレームを発行するかを決めたら、Active Directoryスキーマを拡張することをIT部門を納得させることがいかに大変かを尋ねてみてください。彼らは、そこにとどまるよい回答を持っています。もし彼らがまだ変えたくないのなら、クレームはそれを変えないでしょう。クレームにどの属性を選んだかを心にとめておくとよいでしょう。
ガイドには、クレームベースセキュリティアーキテクチャで使用すべきプロトコルも含まれている。ガイドは、まだ作業中である。
マイクロソフトは、「簡単なユーザアクセスと企業内、組織間、Web上のオンプレミスとクラウドアプリケーションに対するシングルサインオン」を提供するGenevaと呼ばれるフレームワークを作成した。Genevaは、Windows Identity Foundationと名前を変え、クレームベースを認識して作られたASP.NETやWCFアプリケーションに含まれている。Genevaサーバは、現在「フェデレーションを有効にして、ユーザアクセスを管理するためにセキュリティトークンサービス(STS)の発行とクレームの変換」を行いActive Directoryフェデレーションサービスと呼ばれている。Genevaプロジェクトは、現在ベータ2である。