Décrire le concept de fédération
La fédération permet d’accéder à des services au-delà des limites de l’organisation ou du domaine en établissant des relations d’approbation avec le fournisseur d’identité du domaine respectif. Avec la fédération, un utilisateur n’a pas besoin de conserver un nom d’utilisateur et un mot de passe différents lorsqu’il accède à des ressources dans d’autres domaines.
La façon simplifiée de penser à ce scénario de fédération est la suivante :
- Le site web, dans le domaine A, utilise les services d’authentification du fournisseur d’identité A (IdP-A).
- L’utilisateur, dans le domaine B, s’authentifie auprès du fournisseur d’identité B (IdP-B).
- IdP-A a une relation d’approbation configurée avec IdP-B.
- Quand l’utilisateur, qui souhaite accéder au site web, communique ses informations d’identification au site web, le site fait approuve l’utilisateur et permet l’accès. Cet accès est autorisé en raison de la confiance qui est déjà établie entre les deux fournisseurs d’identité.
Avec la fédération, l’approbation n’est pas toujours bidirectionnelle. Bien que IdP-A puisse approuver IdP-B et permettre à l’utilisateur du domaine B d’accéder au site Web dans le domaine A, l’inverse n’est pas vrai, sauf si cette relation d’approbation est configurée.
Un exemple courant de fédération dans la pratique est lorsque l’utilisateur se connecte à un site tiers avec son compte de réseau social, tel que Twitter. Dans ce scénario, Twitter est un fournisseur d'identité et le site tiers peut utiliser un autre fournisseur d'identité,comme Microsoft Entra ID. Il existe une relation d'approbation entre Microsoft Entra ID et Twitter.