Warum Föderationsanbieter verwenden?

Question

Das, was ich bisher verstehe: -

Ein Benutzer Login in IDP, dann IDP stellt ein Token für diesen Benutzer, wenn Benutzer versucht, auf eine Anwendung zuzugreifen, die IDP vertrauen, wird die Anwendung das Token zu autorisieren Benutzer zu validieren bestimmte Dinge basierend auf den zur Verfügung gestellten Ansprüchen machen.

Anwendungstrust IDP X = Anwendung registriert sich am IDP, um X Token zu erhalten.

Federation Provider für was verwendet ?? Eine Erklärung, die ich bekommen habe, ist, dass FP verwendet wird, wenn zwei Organisationen einander nicht vertrauen und Mitarbeiter weiterhin SSO verwenden müssen, um auf beide Organisationenetzwerke zuzugreifen. Warum vertrauen sie sich nicht einfach gegenseitig, anstatt FP zu benutzen?

Answer 1

Es ist schwierig, föderierte Authentifizierung abzukürzen aber die wichtigsten Konzepte sind diese: - Die STS die Sache Authentifizierung zu tun ist, so dass keine Anwendung hat mehr mit Passwörtern beschäftigen. Sicherheitshalber gibt es nur einen Platz zum Aushärten. - Im Allgemeinen erhält jede vertrauende Seite ihr eigenes Sicherheitstoken. Die STS wird die Token ausgeben. Im Allgemeinen wird automatisch ein Token ausgegeben, sobald ein Benutzer bei einer Anwendung angemeldet ist. Dies bietet die einmalige Anmeldung. Wenn der "Cookie", mit dem Sie angemeldet sind, in der STS-Domäne funktioniert, funktioniert dies. - Wenn sich ein Benutzer abmeldet, wird er automatisch bei allen Anwendungen mit Einzelanmeldung abgemeldet. Also die Hauptsache ist, dass Sie jede beliebige Anwendung verbinden können. Diese Anwendung wird nie die Anmeldeinformationen der Benutzer sehen (da nur Ihre eigenen STS sieht sie). Auf diese Weise können Sie ein sicheres System für Anwendungen erstellen, auf die Ihre Benutzer Zugriff haben. Ein weiterer Vorteil sind die Ansprüche, die normalerweise im Sicherheitstoken gespeichert sind. Dies sind Eigenschaften für den Benutzer, die jede vertrauende Partei automatisch erhält. Ohne einen solchen Mechanismus müssten Sie eine Art von API erstellen, bei der die vertrauende Seite diese Informationen abfragen könnte, die sowohl weniger sicher als auch mühsamer sind. Außerdem sorgt der Ablauf des Sicherheitstokens dafür, dass jede Anwendung, die nicht aktuelle Daten hat (z. B. eine geänderte E-Mail), die aktuellen Daten erhält, wenn der Benutzer sich abmeldet und sich erneut anmeldet oder wenn das Sicherheitstoken abläuft (das ist ein Kompromiss Sie machen müssen.)

Answer 2

Per @paullem

„In der WIF/Microsoft-Welt "Identity Provider"(IP oder IdP) ist die Bezeichnung für einen Server, der authentifiziert ein Benutzer (der Server ist mit einer Kontendatenbank verbunden, AD im aktuellen Fall von ADFS)

Der Federation Server/Provider wird oft für einen Server verwendet, der ein SAML Token von einem anderen Server empfängt nächste Re liegendes Party.

Ein ADFS-Server ist oft/typischerweise beide.“

So Regel sind sie ein und dasselbe.

nicht immer kann mich erinnern, eine Installation eines IDP zu tun, dass nur ein Verbundanbieter war