Descrivere il concetto di federazione

Completato

La federazione consente l'accesso a servizi oltre i confini dell'organizzazione o del dominio mediante la definizione di relazioni di trust tra il provider di identità del rispettivo dominio. Con la federazione non è necessario che un utente abbia un nome utente e una password diversi per l'accesso alle risorse in altri domini.

Diagram showing a simplified view of how federation works

Il modo più semplice per immaginare questo scenario di federazione è il seguente:

  • Il sito Web, nel dominio A, usa i servizi di autenticazione del provider di identità A (IdP-A).
  • L'utente, nel dominio B, esegue l'autenticazione con il provider di identità B (IdP-B).
  • IdP-A ha una relazione di trust configurata con IdP-B.
  • Quando l'utente, che vuole accedere al sito Web, specifica le proprie credenziali nel sito Web, quest'ultimo considera attendibile l'utente e consente l'accesso. Questo accesso è consentito a causa dell'attendibilità già stabilita tra i due provider di identità.

Con la federazione, la relazione di trust non è sempre bidirezionale. Anche se IdP-A può considerare attendibile IdP-B e consentire all'utente nel dominio B di accedere al sito Web nel dominio A, il contrario non è vero, a meno che non sia configurata la relazione di trust.

Un esempio comune di federazione in pratica è quando un utente accede a un sito di terze parti con il proprio account di social media, ad esempio Twitter. In questo scenario Twitter è un provider di identità e il sito di terze parti potrebbe usare un provider di identità diverso, ad esempio Microsoft Entra ID. Esiste una relazione di trust tra Microsoft Entra AD e Twitter.