Popsat koncept federace
Federace umožňuje přístup ke službám přes hranice organizace nebo domény vytvořením vztahů důvěryhodnosti mezi zprostředkovatelem identity příslušné domény. U federace není nutné, aby uživatel při přístupu k prostředkům v jiných doménách zachoval jiné uživatelské jméno a heslo.
Zjednodušený způsob, jak se zamyslet nad tímto scénářem federace, je následující:
- Web v doméně A používá ověřovací služby zprostředkovatele identity A (IdP-A).
- Uživatel v doméně B se ověřuje pomocí zprostředkovatele identity B (IdP-B).
- IdP-A má nakonfigurovaný vztah důvěryhodnosti s idP-B.
- Když uživatel, který chce získat přístup k webu, poskytne jeho přihlašovací údaje k webu, web důvěřuje uživateli a povoluje přístup. Tento přístup je povolený z důvodu vztahu důvěryhodnosti, který je již vytvořen mezi dvěma zprostředkovateli identity.
S federací není vztah důvěryhodnosti vždy obousměrný. I když idP-A může důvěřovat IdP-B a umožnit uživateli v doméně B přístup k webu v doméně A, není to pravda, pokud není tento vztah důvěryhodnosti nakonfigurovaný.
Běžným příkladem federace v praxi je, když se uživatel přihlásí k webu třetí strany pomocí svého účtu sociálních médií, například X. V tomto scénáři je X zprostředkovatelem identity a web třetí strany může používat jiného zprostředkovatele identity, například Microsoft Entra ID. Mezi ID Microsoft Entra a X existuje vztah důvěryhodnosti.