¿Cuál es la diferencia entre el inicio de sesión federado y el inicio de sesión único?

El inicio de sesión único (SSO) permite a los usuarios acceder a varios servicios con un solo inicio de sesión.

El término es en realidad un poco ambiguo. A veces, se usa para significar que (1) el usuario solo tiene que proporcionar credenciales una sola vez por sesión, y luego obtiene acceso a múltiples servicios sin tener que iniciar sesión nuevamente durante esa sesión. Pero a veces se usa para significar ( 2) simplemente que se utilizan las mismas credenciales para múltiples servicios; es posible que el usuario tenga que iniciar sesión varias veces, pero siempre tienen las mismas credenciales . Tenga cuidado, todos los SSO no son iguales en ese sentido. Muchas personas (incluido yo) solo consideran que el primer caso es SSO «verdadero».

Identidad federada (FID) se refiere al lugar donde el usuario almacena sus credenciales. Alternativamente, FID puede verse como una forma de conectar los sistemas de gestión de identidad. En FID, las credenciales de un usuario siempre se almacenan con la organización «de origen» (el «proveedor de identidad»). Cuando el usuario inicia sesión en un servicio, en lugar de proporcionar las credenciales al proveedor de servicios, el proveedor de servicios confía en el proveedor de identidad para validar las credenciales. Por lo tanto, el usuario nunca proporciona las credenciales directamente a nadie más que al proveedor de identidad.

FID y SSO son diferentes, pero muy a menudo se usan juntos. La mayoría de los sistemas FID proporcionan algún tipo de SSO. Y muchos SSO Los sistemas se implementan bajo el capó como FID. Pero no tienen que hacerse de esa manera; FID y SSO también pueden estar completamente separados.

Comentarios

• Gracias. Esto tiene mucho más sentido para mí ahora (creo), pero solo después de su interpretación, ya que la página de wikipedia de FID no estaba resolviendo la diferencia para mí. Entonces, ¿BrowserID es SSO y acceder a stackoverflow con una cuenta de Google es FID?
• ¿Sería justo pensar en los servicios de Google (Gmail, Drive, YouTube, etc.) como un ejemplo canónico de SSO y un » Iniciar sesión con el botón » de Facebook en algún sitio web aleatorio como un ejemplo canónico de FID?
• Eso ‘ s como yo lo interpretaría. El inicio de sesión de Google y el inicio de sesión de Facebook son servicios de identidad federados que brindan autenticación sin revelar su información de inicio de sesión al servicio al que está accediendo.

SSO permite que una sola credencial de autenticación (ID de usuario y contraseña, tarjeta inteligente, token de contraseña de un solo uso o un dispositivo biométrico) acceda a múltiples o diferentes sistemas dentro de una sola organización. Un sistema de administración de identidad federado proporciona acceso único a múltiples sistemas en diferentes empresas.

source

Web SSO, se puede definir como «debe ingresar su credencial una vez y si están bajo el mismo proveedor de cookies, no necesita volver a ingresar el nombre de usuario y la contraseña si también están bajo el mismo proveedor de cookies «por ejemplo: Gmail -> google

El SSO federado se puede definir como» se le puede pedir que use una aplicación que se encuentra en una empresa / red diferente o, por ejemplo, en otra organización , en este caso necesitamos tener la Federación, donde si desea utilizar el servicio de otro producto web de la empresa, por ejemplo, el servicio ahora, actuará como proveedor de identidad [IDP] y ellos serán el proveedor de servicios [SP] «

La federación es un principio, mientras que el SSO es solo un caso de uso. SSO puede significar diferentes cosas para diferentes personas, pero el significado común es «usar la misma credencial para iniciar sesión una vez por sesión, que se usa ampliamente en muchas empresas a nivel local». El principio de federación viene a resolver el problema de muchas empresas independientes que quieren permitir que sus usuarios inicien sesión para usar todos sus servicios, en otra palabra, iniciar sesión al otro lado de la frontera. De esta necesidad surge lo que hoy se denomina SSO federado, que es un tipo de inicio de sesión único.

¡No es necesario explicar el inicio de sesión único! Es una cualidad de un sistema de TI. Inicia sesión una vez, y durante la duración de su sesión, las decisiones de autorización se pueden tomar sin tener que volver a autenticarse.

Toda la sutileza surge cuando desea ampliar el perímetro de recursos cubiertos por el inicio de sesión único. En máquinas locales y dominios de intranet, las batallas se ganaron hace tanto tiempo que lo hemos olvidado, pero el inicio de sesión único tuvo que implementarse en sistemas operativos y controladores de dominio.

La batalla de hoy es proporcionar un solo signo -en todos los sitios web del mundo, y la identificación federada es uno de los dos patrones arquitectónicos utilizados para resolver esto. El otro, más simple y más frecuente, es la identificación delegada.La diferencia se explica aquí si, como servidor de autorización, está dispuesto a aceptar un token de identidad sabiendo solo que es, por ejemplo, un token OpenId , sin importar quién lo generó, entonces está usando una identificación federada.

Inicio de sesión único (SSO): Único El inicio de sesión es una característica de un mecanismo de autenticación que se relaciona con la identidad del usuario que se utiliza para proporcionar acceso a través de múltiples proveedores de servicios.

SSO permite un solo proceso de autenticación (administrado por un solo proveedor de identidad u otro mecanismo de autenticación) para usarse en varios sistemas dentro de una sola organización o en varias organizaciones.

SSO federado: Administración de identidad federada es una subdisciplina de IAM, pero por lo general los mismos equipos están involucrados en el soporte. La federación es un tipo de SSO donde los actores abarcan múltiples organizaciones y dominios de seguridad.

La federación es la relación de confianza que existe entre estas organizaciones; se trata de dónde se almacenan realmente las credenciales del usuario y cómo los terceros confiables pueden autenticarse con esas credenciales sin verlas realmente.

La relación de federación se puede lograr a través de uno de varios protocolos diferentes, incluidos (pero, no limitado a):

• SAML1.1

• SAML2

• WS-Federation

• OAuth2

• OpenID Connect

• WS- Confianza

• Varios protocolos propietarios

También puede consultar el lista de implementaciones de inicio de sesión único

Comentarios

• Debe revelar su relación con el enlace que proporciona.

FID investigando en múltiples partes que confían en el mismo sistema de administración de identidad, por ejemplo, puede iniciar sesión en Flicar con su cuenta de Yahoo ; aquí Flicar depende de Yahoo y confía en él para autenticarte. En FID debe haber un tercero (proveedor de identidad) junto al usuario y el proveedor de servicios.

SSO está investigando cómo iniciar sesión en múltiples servicios mediante inicio de sesión único. Por ejemplo, si inicia sesión en su cuenta de hotmail, podrá iniciar sesión en el servicio SkyDrive sin necesidad de iniciar sesión de nuevo.

No tengo un ejemplo, pero creo que puede hacerlo. inicie sesión por SSO en muchos servicios usando FID o puede iniciar sesión por SSO sin usar FID.

Comentarios

• Aunque está mal redactado, esto no es ‘ t significativamente diferente a la respuesta mejor descrita por Mark. El único problema que veo es que implica que los inicios de sesión federados son con servicios públicos, pero también pueden ser a través de servidores no privados / corporativos, etc. Incluso los toques de SSO se pueden implementar con FID. No ‘ t merece un up más, pero no debería ‘ t ser un -1.