Quelle est la différence entre la connexion fédérée et la connexion unique?

Single Sign-on (SSO) permet aux utilisateurs daccéder à plusieurs services avec une seule connexion.

Le terme est en fait un peu ambigu. Parfois, cela signifie que (1) lutilisateur ne doit fournir ses informations didentification quune seule fois par session, puis accède à plusieurs services sans avoir à se reconnecter pendant cette session. Mais parfois, cela signifie ( 2) simplement que les mêmes informations didentification sont utilisées pour plusieurs services; lutilisateur devra peut-être se connecter plusieurs fois, mais ce sont toujours les mêmes informations didentification . Attention, tous les SSO ne sont pas les mêmes à cet égard. De nombreuses personnes (moi y compris) considèrent que le premier cas est uniquement un « vrai » SSO.

Identité fédérée (FID) fait référence à lendroit où le lutilisateur stocke ses informations didentification. Alternativement, le FID peut être considéré comme un moyen de connecter les systèmes de gestion didentité entre eux. Dans le FID, les informations didentification dun utilisateur sont toujours stockées avec lorganisation « dorigine » (le « fournisseur didentité »). Lorsque lutilisateur se connecte à un service, au lieu de fournir des informations didentification au fournisseur de services, le fournisseur de services approuve le fournisseur didentité pour valider les informations didentification. Ainsi, lutilisateur ne fournit jamais dinformations didentification directement à personne dautre que le fournisseur didentité.

Le FID et le SSO sont différents, mais sont très souvent utilisés ensemble. La plupart des systèmes FID fournissent une sorte de SSO. Et de nombreux SSO les systèmes sont implémentés sous le capot en tant que FID. Mais ils ne doivent pas être faits de cette façon; Le FID et le SSO peuvent également être complètement séparés.

Commentaires

• Merci. Cela a beaucoup plus de sens pour moi maintenant (je pense), mais seulement après votre interprétation, car la page wikipedia FID ne résolvait pas la différence pour moi. Donc, BrowserID est SSO et accéder à stackoverflow avec un compte Google est FID?
• Serait-il juste de considérer les services Google (Gmail, Drive, YouTube, etc.) comme un exemple canonique de SSO, et un  » Connectez-vous avec le bouton Facebook  » sur un site Web aléatoire comme exemple canonique de FID?
• Cela ‘ s comment je linterpréterais. Google Login et Facebook Login sont des services didentité fédérés qui fournissent une authentification sans révéler vos informations de connexion au service auquel vous accédez.

SSO permet à un seul identifiant dauthentification – ID utilisateur et mot de passe, carte à puce, jeton de mot de passe à usage unique ou appareil biométrique – pour accéder à plusieurs ou différents systèmes au sein dune même organisation. Un système de gestion des identités fédérées fournit un accès unique à plusieurs systèmes dans différentes entreprises.

source

SSO Web, peut être défini comme « vous devez entrer vos informations didentification une fois et sils sont sous le même fournisseur de cookies, vous navez pas besoin de saisir à nouveau le nom dutilisateur et le mot de passe sils sont également sous le même fournisseur de cookies « par exemple: Gmail -> google

Lauthentification unique fédérée peut être définie comme » vous pouvez être invité à utiliser une application appartenant à une entreprise / un réseau différent ou à dire une autre organisation , dans ce cas, nous avons besoin de la Fédération, où si vous souhaitez utiliser le service dun autre produit Web, par exemple, le service maintenant, vous servirez de fournisseur didentité [IDP] et ils seront le fournisseur de services [SP] « 

La fédération est un principal alors que SSO nest quun cas dutilisation. Lauthentification unique peut signifier des choses différentes pour différentes personnes, mais la signification commune est « utiliser le même identifiant pour se connecter une fois par session, ce qui est largement utilisé dans de nombreuses entreprises localement ». Le principe de la fédération vient résoudre le problème de nombreuses entreprises indépendantes qui souhaitent permettre à leurs utilisateurs de se connecter pour utiliser tous leurs services, en un autre mot se connectant à travers la frontière. De ce besoin découle ce que lon appelle aujourdhui lauthentification unique fédérée qui est un type dauthentification unique.

Lauthentification unique ne devrait pas avoir besoin dêtre expliquée! Cest une qualité dun système informatique. Vous vous connectez une fois, et pendant toute la durée de votre session, les décisions dautorisation peuvent être prises sans que vous ayez à vous authentifier à nouveau.

Toute la subtilité vient lorsque vous souhaitez agrandir le périmètre des ressources couvertes par le authentification unique. Sur les machines locales et les domaines intranet, les batailles ont été gagnées il y a si longtemps que nous lavons oublié, mais lauthentification unique a dû être mise en œuvre dans les systèmes dexploitation et les contrôleurs de domaine.

La bataille daujourdhui consiste à fournir un signe unique -sur tous les sites Web du monde, et lidentifiant fédéré est lun des deux modèles architecturaux utilisés pour résoudre ce problème. Lautre, plus simple et plus répandu, est lidentifiant délégué.La différence est expliquée ici Si, en tant que serveur d’autorisation, vous « êtes heureux d’accepter un jeton d’identité en sachant seulement qu’il s’agit, par exemple, d’un jeton OpenId , sans se soucier de qui la généré, alors vous « faites un identifiant fédéré.

Single Sign On (SSO): Single La connexion est une caractéristique dun mécanisme dauthentification qui se rapporte à lidentité de lutilisateur utilisée pour fournir un accès à plusieurs fournisseurs de services.

SSO permet un processus dauthentification unique (géré par un seul fournisseur didentité ou un autre mécanisme dauthentification) à utiliser sur plusieurs systèmes au sein dune même organisation ou dans plusieurs organisations.

SSO fédéré: Gestion des identités fédérées est une sous-discipline de IAM, mais généralement la ou les mêmes équipes sont impliquées dans sa prise en charge. La fédération est un type de SSO où les acteurs couvrent plusieurs organisations et domaines de sécurité.

La fédération est la relation de confiance qui existe entre ces organisations; il sagit de savoir où les informations didentification de lutilisateur sont réellement stockées et comment des tiers de confiance peuvent sauthentifier par rapport à ces informations didentification sans les voir réellement.

La relation de fédération peut être réalisée via lun des différents protocoles, y compris (mais, non limité à):

• SAML1.1

• SAML2

• WS-Federation

• OAuth2

• OpenID Connect

• WS- Confiance

• Divers protocoles propriétaires

Vous pouvez également consulter le liste des implémentations dauthentification unique

Commentaires

• Vous devez divulguer votre relation avec le lien que vous fournissez.

Recherche FID en multi-parties faisant confiance au même système de gestion didentité, par exemple vous pouvez vous connecter à Flicar via votre compte Yahoo ; ici Flicar dépend de Yahoo et lui fait confiance pour vous authentifier.Dans FID, il doit y avoir un tiers (fournisseur didentité) à côté de lutilisateur et du fournisseur de services.

SSO recherche comment se connecter à multi services par connexion unique.Par exemple, si vous vous connectez à votre compte hotmail, vous pourrez vous connecter au service SkyDrive sans avoir à vous reconnecter.

Je nai pas dexemple mais je pense que vous pouvez non plus connectez-vous par SSO à de nombreux services en utilisant FID ou vous pouvez vous connecter par SSO sans utiliser de FID.

Commentaires

• Bien que mal formulé, ce nest pas ‘ t significativement différent de la réponse mieux décrite par Mark. Le seul problème que je vois est que cela implique que les connexions fédérées sont avec des services publics, mais ils peuvent également être via des serveurs non privés / dentreprise, etc. Cela touche même SSO peut être implémenté avec FID. Ne ‘ t mérite pas plus, mais ne devrait ‘ être un -1.