フェデレーションの概念について説明する
フェデレーションにより、各ドメインの ID プロバイダー間で信頼関係を確立することによって、組織またはドメイン境界を越えてサービスにアクセスすることができます。 フェデレーションでは、ユーザーが他のドメインのリソースにアクセスするときに、別のユーザー名とパスワードを保持する必要はありません。
このフェデレーション シナリオを簡単に考えると、次のようになります。
- ドメイン A の Web サイトでは、ID プロバイダー A (IdP-A) の認証サービスが使用されています。
- ドメイン B のユーザーは、ID プロバイダー B (IdP-B) を使用して認証されます。
- IdP-A には、IdP-B で構成された信頼関係があります。
- Web サイトへのアクセスを希望するユーザーが Web サイトに資格情報を提供すると、ユーザーは Web サイトに信頼されてアクセスが許可されます。 このアクセスは、2 つの ID プロバイダーの間に既に確立されている信頼のために許可されます。
フェデレーションでは、信頼は常に双方向とは限りません。 IdP-A が IdP-B を信頼し、ドメイン B のユーザーにドメイン A の Web サイトへのアクセスを許可する場合でも、信頼関係が構成されていない限り、その逆は成立しません。
実際に使用されている一般的なフェデレーションの例は、Twitter などのソーシャル メディア アカウントを使用して、ユーザーがサード パーティのサイトにログインする場合です。 このシナリオでは、Twitter が ID プロバイダーであり、サード パーティのサイトでは、Microsoft Entra ID などの別の ID プロバイダーが使用されている場合があります。 Microsoft Entra ID と Twitter の間には信頼関係があります。