Descrivere il concetto di federazione
La federazione consente l'accesso a servizi oltre i confini dell'organizzazione o del dominio mediante la definizione di relazioni di trust tra il provider di identità del rispettivo dominio. Con la federazione non è necessario che un utente abbia un nome utente e una password diversi per l'accesso alle risorse in altri domini.
Il modo più semplice per immaginare questo scenario di federazione è il seguente:
- Il sito Web, nel dominio A, usa i servizi di autenticazione del provider di identità A (IdP-A).
- L'utente, nel dominio B, esegue l'autenticazione con il provider di identità B (IdP-B).
- IdP-A ha una relazione di trust configurata con IdP-B.
- Quando l'utente, che vuole accedere al sito Web, specifica le proprie credenziali nel sito Web, quest'ultimo considera attendibile l'utente e consente l'accesso. Questo accesso è consentito a causa dell'attendibilità già stabilita tra i due provider di identità.
Con la federazione, la relazione di trust non è sempre bidirezionale. Anche se IdP-A può considerare attendibile IdP-B e consentire all'utente nel dominio B di accedere al sito Web nel dominio A, il contrario non è vero, a meno che non sia configurata la relazione di trust.
Un esempio comune di federazione in pratica è quando un utente accede a un sito di terze parti con il proprio account di social media, ad esempio Twitter. In questo scenario Twitter è un provider di identità e il sito di terze parti potrebbe usare un provider di identità diverso, ad esempio Microsoft Entra ID. Esiste una relazione di trust tra Microsoft Entra AD e Twitter.