Boas Thiago,
Claims são uma espécie de afirmações que alguém faz à respeito de uma pessoa.
Falando especificamente no contexto de segurança as aplicações, o token representa entre várias outras coisas, o conjunto que Claims que um STS (Security Token Service) emitiu para um usuário específico durante o processo de autenticação.
Depois de autenticado, esse token é enviado ao usuário (pode utilizar o Cardspace para armazená-lo), que envia para a aplicação que o solicitou. Essa aplicação deverá confiar no STS que emitiu o token. A partir daí, a aplicação saberá quem ele é.
http://www.israelaece.com