Описание концепции федерации
Федерация обеспечивает доступ к службам через границы организации или домена, устанавливая отношения доверия между соответствующим поставщиком удостоверений домена. При использовании федерации не требуется, чтобы пользователь поддерживал другое имя пользователя и пароль при доступе к ресурсам на других доменах.
Ниже приведен упрощенный способ понимания сценария федерации.
- На веб-сайте в домене A используются службы проверки подлинности поставщика удостоверений A (IdP-A).
- Пользователь в домене B выполняет проверку подлинности с помощью поставщика удостоверений B (IdP-B).
- IdP-A имеет отношение доверия, настроенное с помощью IdP-B.
- Когда пользователь хочет получить доступ к веб-сайту, указывает свои учетные данные, веб-сайт доверяет пользователю и разрешает доступ. Этот доступ разрешается из-за уже установленного отношения доверия между двумя поставщиками удостоверений.
При использовании федерации доверие не всегда является двунаправленным. Несмотря на то, что IdP-A может доверять IdP-B и разрешить пользователю в домене B доступ к веб-сайту в домене А, противоположное значение не равно true, если это отношение доверия не настроено.
Распространенный пример федерации на практике — это когда пользователь входит в систему стороннего сайта с помощью учетной записи социальных сетей, например Twitter. В этом сценарии Twitter является поставщиком удостоверений, а сторонний сайт может использовать другой поставщик удостоверений, например идентификатор Microsoft Entra. Существует отношение доверия между идентификатором Microsoft Entra и Twitter.