Opis koncepcji federacji
Federacja umożliwia dostęp do usług w granicach organizacji lub domeny przez ustanowienie relacji zaufania między dostawcą tożsamości odpowiedniej domeny. W przypadku federacji nie ma potrzeby, aby użytkownik obsługiwał inną nazwę użytkownika i hasło podczas uzyskiwania dostępu do zasobów w innych domenach.
Uproszczony sposób myślenia o tym scenariuszu federacji jest następujący:
- Witryna internetowa w domenie A używa usług uwierzytelniania dostawcy tożsamości A (IdP-A).
- Użytkownik w domenie B uwierzytelnia się za pomocą dostawcy tożsamości B (IdP-B).
- IdP-A ma relację zaufania skonfigurowaną z dostawcą tożsamości-B.
- Gdy użytkownik, który chce uzyskać dostęp do witryny internetowej, udostępnia swoje poświadczenia do witryny internetowej, witryna internetowa ufa użytkownikowi i zezwala na dostęp. Ten dostęp jest dozwolony ze względu na zaufanie, które zostało już ustanowione między dwoma dostawcami tożsamości.
W przypadku federacji zaufanie nie zawsze jest dwukierunkowe. Mimo że dostawca tożsamości-A może ufać dostawcy tożsamości B i zezwolić użytkownikowi w domenie B na dostęp do witryny internetowej w domenie A, przeciwieństwo nie jest prawdziwe, chyba że ta relacja zaufania jest skonfigurowana.
Typowym przykładem federacji w praktyce jest to, że użytkownik loguje się do witryny innej firmy przy użyciu konta w mediach społecznościowych, takiego jak Twitter. W tym scenariuszu usługa Twitter jest dostawcą tożsamości, a witryna innej firmy może używać innego dostawcy tożsamości, takiego jak Microsoft Entra ID. Istnieje relacja zaufania między identyfikatorem Entra firmy Microsoft i usługą Twitter.