Quelle est la différence entre la connexion fédérée et l'authentification unique?
Quelle est la différence entre les méthodes d'authentification Federated Login et Single Sign On?
Single Sign-On (SSO) permet aux utilisateurs d'accéder à plusieurs services avec une seule connexion.
Le terme est en fait un petit ambigu. Parfois, cela signifie que (1) l'utilisateur n'a qu'à fournir des informations d'identification une seule fois par session, puis accède à plusieurs services sans avoir à se reconnecter pendant cette session. Mais parfois, cela signifie (2) simplement que les mêmes informations d'identification sont utilisées pour plusieurs services; l'utilisateur peut avoir à se connecter plusieurs fois, mais ce sont toujours les mêmes informations d'identification . Attention, tous les SSO ne sont pas les mêmes à cet égard. Beaucoup de gens (moi y compris) ne considèrent que le premier cas comme un "vrai" SSO.
Identité fédérée (FID) fait référence à l'endroit où l'utilisateur stocke ses informations d'identification. Le FID peut également être considéré comme un moyen de connecter les systèmes de gestion des identités entre eux. Dans FID, les informations d'identification d'un utilisateur sont toujours stockées avec l'organisation "d'origine" (le "fournisseur d'identité"). Lorsque l'utilisateur se connecte à un service, au lieu de fournir des informations d'identification au fournisseur de services, le fournisseur de services fait confiance au fournisseur d'identité pour valider les informations d'identification. Ainsi, l'utilisateur ne fournit jamais d'informations d'identification directement à quiconque, sauf au fournisseur d'identité.
FID et SSO sont différents, mais sont très souvent utilisés ensemble. La plupart des systèmes FID fournissent une sorte de SSO. Et de nombreux systèmes SSO sont implémentés sous le capot en tant que FID. Mais ils ne doivent pas être faits de cette façon; FID et SSO peuvent également être complètement séparés.
SSO permet à un seul identifiant d'authentification - ID utilisateur et mot de passe, carte à puce, jeton de mot de passe à usage unique ou périphérique biométrique - d'accéder à plusieurs systèmes ou à différents systèmes au sein d'une même organisation. Un système fédéré de gestion des identités fournit un accès unique à plusieurs systèmes dans différentes entreprises.
Web SSO, peut être défini comme "vous devez entrer vos informations d'identification une fois et si elles sont sous le même fournisseur de cookies, vous n'avez pas besoin de ressaisir le nom d'utilisateur et le mot de passe si elles sont également sous le même fournisseur de cookies", par exemple: Gmail -> google
L'authentification unique fédérée peut être définie comme "vous pouvez être invité à utiliser une application qui est sous une entreprise/un réseau différent ou dire une autre organisation, dans ce cas, nous devons avoir la Fédération, où si vous souhaitez utiliser le service d'un autre produit Web d'entreprise par exemple, le service maintenant, alors vous serez le fournisseur d'identité [IDP] et ils seront le fournisseur de service [SP] "
La fédération est un principal tandis que l'authentification unique n'est qu'un cas d'utilisation. L'authentification unique peut signifier différentes choses pour différentes personnes, mais la signification courante est "d'utiliser les mêmes informations d'identification pour se connecter une fois par session, ce qui est largement utilisé dans de nombreuses entreprises localement". Le principe de la fédération vient résoudre le problème de nombreuses entreprises indépendantes qui souhaitent permettre à leurs utilisateurs de se connecter pour utiliser tous leurs services, dans une autre journalisation Word transfrontalière. De ce besoin vient ce que l'on appelle aujourd'hui l'authentification unique fédérée, qui est un type d'authentification unique.
Authentification unique (SSO): Authentification unique est une caractéristique d'un mécanisme d'authentification qui se rapporte à l'identité de l'utilisateur utilisée pour fournir l'accès à plusieurs fournisseurs de services.
L'authentification unique permet d'utiliser un seul processus d'authentification (géré par un seul fournisseur d'identité ou un autre mécanisme d'authentification) sur plusieurs systèmes au sein d'une même organisation ou sur plusieurs organisations.
SSO fédéré: Federated Identity Management est une sous-discipline d'IAM, mais généralement la ou les mêmes équipes participent à sa prise en charge. La fédération est un type de SSO dans lequel les acteurs couvrent plusieurs organisations et domaines de sécurité.
La fédération est la relation de confiance qui existe entre ces organisations; il s'agit de savoir où les informations d'identification de l'utilisateur sont réellement stockées et comment les tiers de confiance peuvent s'authentifier auprès de ces informations sans les voir réellement.
La relation de fédération peut être accomplie via l'un des différents protocoles, y compris (mais sans s'y limiter):
SAML1.1
SAML2
WS-Federation
OAuth2
OpenID Connect
WS-Trust
Divers protocoles propriétaires
Vous pouvez également consulter la liste des implémentations de connexion unique
La connexion unique ne devrait pas être expliquée! C'est la qualité d'un système informatique. Vous vous connectez une seule fois et pendant la durée de votre session, des décisions d'autorisation peuvent être prises sans que vous ayez à vous réauthentifier.
Toute la subtilité vient lorsque vous souhaitez agrandir le périmètre des ressources couvertes par l'authentification unique. Sur les machines locales et les domaines intranet, les batailles ont été gagnées il y a si longtemps que nous l'avons oublié, mais l'authentification unique devait être implémentée dans les systèmes d'exploitation et les contrôleurs de domaine.
La bataille d'aujourd'hui consiste à fournir une connexion unique à tous les sites Web du monde, et l'ID fédéré est l'un des deux modèles architecturaux utilisés pour résoudre ce problème. L'autre, plus simple et plus répandu, est l'ID délégué. La différence est expliquée ici Si, en tant que serveur d'autorisation, vous êtes heureux d'accepter un jeton d'identité sachant seulement que c'est, par exemple, un jeton OpenId, peu importe qui l'a généré, alors vous êtes faire id fédéré.
FID recherchant dans plusieurs parties faisant confiance au même système de gestion d'identité, par exemple, vous pouvez vous connecter à Flicar par votre compte Yahoo; ici Flicar dépend de Yahoo et lui fait confiance pour vous authentifier. Dans le FID, il doit y avoir un tiers (fournisseur d'identité) à côté de l'utilisateur et du fournisseur de services.
SSO étudie comment se connecter à plusieurs services par connexion unique.Par exemple, si vous vous connectez à votre compte Hotmail, vous pourrez vous connecter au service SkyDrive sans avoir besoin de vous reconnecter.
Je n'ai pas d'exemple mais je pense que vous pouvez vous connecter par SSO à de nombreux services en utilisant FID ou vous pouvez vous connecter par SSO sans utiliser FID.