描述同盟的概念
同盟可讓您藉由在個別網域的身分識別提供者之間建立信任關係,以跨組織或網域界限來存取服務。 藉由同盟,使用者在存取其他網域中的資源時,不需要維護不同的使用者名稱和密碼。
此同盟案例的簡化思考方式如下:
- 網域 A 的該網站使用身分識別提供者 A (IdP-A) 的驗證服務。
- 網域 B 的使用者透過身分識別提供者 B (IdP-B) 進行驗證。
- IdP-A 設有 IdP-B 的信任關係。
- 當使用者想要存取網站時,便會將其認證提供給網站,而網站會信任使用者並允許存取。 由於兩個識別提供者之間已建立信任,因此會允許此存取。
使用同盟時,信任不一定是雙向的。 雖然 IdP 可能信任 IdP-B,並允許網域 B 中的使用者存取網域 A 中的網站,但反之則不然,除非已設定信任關係。
常見的同盟範例之一,是使用者透過其社交媒體帳戶 (例如 X) 登入第三方網站時。在此案例中,X 是身分識別提供者,而第三方網站可能使用不同的身分識別提供者,例如 Microsoft Entra ID。 Microsoft Entra ID 與 X 之間有信任關係。