介绍联合身份验证的概念

已完成

联合身份验证通过在各个域的标识提供者之间建立信任关系，实现跨组织或域边界访问服务。 使用联合身份验证，用户在访问其他域中的资源时不需要维护不同的用户名和密码。

“考虑联合身份验证的简化方法”方案如下：

• 域 A 中的网站使用标识提供者 A (IdP-A) 的身份验证服务。
• 域 B 中的用户使用标识提供者 B (IdP-B) 进行身份验证。
• IdP-A 配置了与 IdP-B 的信任关系。
• 当用户想要访问该网站并向该网站提供其凭据时，网站信任用户并允许访问。 由于两个标识提供者之间已经建立了信任，因此允许此访问。

对于联合身份验证，信任并不总是双向的。 虽然 IdP-A 可以信任 IdP-B，并允许域 B 中的用户访问域 A 中的网站，但相反的情况就不成立了，除非配置了信任关系。

在实践中，联合的一个常见示例是当用户使用其社交媒体帐户（如 X）登录到第三方网站时。在此应用场景中，X 是标识提供者，第三方站点可能使用不同的标识提供者，例如 Microsoft Entra ID。 Microsoft Entra ID 和 X 之间存在信任关系。