Descripción del concepto de federación
La federación permite el acceso a los servicios a través de los límites de la organización o del dominio mediante el establecimiento de relaciones de confianza entre el proveedor de identidades del dominio correspondiente. Con la federación, no es necesario que un usuario mantenga un nombre de usuario y una contraseña diferentes al acceder a los recursos de otros dominios.
La manera simplificada de considerar este escenario de federación es la siguiente:
- El sitio web, en el dominio A, usa los servicios de autenticación del proveedor de identidades A (IdP-A).
- El usuario, en el dominio B, se autentica con el proveedor de identidades B (IdP-B).
- IdP-A tiene una relación de confianza configurada con IdP-B.
- Cuando el usuario, que desea acceder al sitio web, proporciona sus credenciales, el sitio web confía en el usuario y permite el acceso. Este acceso se permite debido a la confianza que ya se ha establecido entre los dos proveedores de identidades.
Con la federación, la confianza no siempre es bidireccional. Aunque IdP-A puede confiar en IdP-B y permitir que el usuario del dominio B tenga acceso al sitio web del dominio A, lo contrario no es cierto, a menos que se configure la relación de confianza.
Un ejemplo común de federación en la práctica es cuando un usuario inicia sesión en un sitio de terceros con su cuenta de redes sociales, como X. En este escenario, X es un proveedor de identidades y el sitio de terceros podría estar usando un proveedor de identidades diferente, como Microsoft Entra ID. Hay una relación de confianza entre Microsoft Entra ID y X.