Décrire le concept de fédération
La fédération permet d’accéder à des services au-delà des limites de l’organisation ou du domaine en établissant des relations d’approbation avec le fournisseur d’identité du domaine respectif. Avec la fédération, un utilisateur n’a pas besoin de conserver un nom d’utilisateur et un mot de passe différents lorsqu’il accède à des ressources dans d’autres domaines.
La façon simplifiée de penser à ce scénario de fédération est la suivante :
- Le site web, dans le domaine A, utilise les services d’authentification du fournisseur d’identité A (IdP-A).
- L’utilisateur, dans le domaine B, s’authentifie auprès du fournisseur d’identité B (IdP-B).
- IdP-A a une relation d’approbation configurée avec IdP-B.
- Quand l’utilisateur, qui souhaite accéder au site web, communique ses informations d’identification au site web, le site fait approuve l’utilisateur et permet l’accès. Cet accès est autorisé en raison de la confiance qui est déjà établie entre les deux fournisseurs d’identité.
Avec la fédération, l’approbation n’est pas toujours bidirectionnelle. Bien que IdP-A puisse approuver IdP-B et permettre à l’utilisateur du domaine B d’accéder au site Web dans le domaine A, l’inverse n’est pas vrai, sauf si cette relation d’approbation est configurée.
Dans la pratique, un exemple courant de fédération est lorsqu’un utilisateur se connecte à un site tiers avec son compte de réseaux sociaux comme X. Dans ce scénario, X est un fournisseur d’identité et le site tiers peut utiliser un autre fournisseur d’identité comme Microsoft Entra ID. Il existe une relation d’approbation entre Microsoft Entra ID et X.