フェデレーションログインとシングルサインオンの違いは何ですか？

シングルサインオン（SSO）を使用すると、ユーザーは1回のログインで複数のサービスにアクセスできます。

この用語は実際には少しあいまいです。これは、（1）ユーザーがセッションごとに1回だけ資格情報を提供するだけで、そのセッション中に再度サインインしなくても複数のサービスにアクセスできることを意味する場合があります。 2）同じ資格情報が複数のサービスに使用されているだけです。 ユーザーは複数回ログインする必要があるかもしれませんが、それは常に同じ資格情報です。したがって、すべてのSSOはその点で同じではないことに注意してください。多くの人（私を含む）は、最初のケースのみを「真の」SSOと見なします。

フェデレーションID（FID）は、ユーザーは資格情報を保存します。あるいは、FIDは、ID管理システムを相互に接続する方法と見なすことができます。 FIDでは、ユーザーの資格情報は常に「ホーム」組織（「IDプロバイダー」）に保存されます。ユーザーがサービスにログインすると、サービスプロバイダーに資格情報を提供する代わりに、サービスプロバイダーはIDプロバイダーを信頼します。資格情報を検証します。したがって、ユーザーがIDプロバイダー以外のユーザーに資格情報を直接提供することはありません。

FIDとSSOは異なりますが、一緒に使用されることがよくあります。ほとんどのFIDシステムは、ある種のSSOを提供します。システムは、内部でFIDとして実装されます。ただし、そのように実行する必要はありません。 FIDとSSOも完全に分離できます。

コメント

• ありがとうございます。これは今では私にははるかに理にかなっていますが（私は思う）、FIDウィキペディアのページが私にとって違いを解決していなかったので、あなたの解釈の後でのみです。つまり、BrowserIDはSSOであり、GoogleアカウントでスタックオーバーフローにアクセスすることはFIDですか？
• Googleサービス（Gmail、ドライブ、YouTubeなど）をSSOの標準的な例と考えるのは公平でしょうか？" FIDの標準的な例として、ランダムなWebサイトのFacebook "ボタンでログインしますか？
• その'は私がそれをどのように解釈するかです。 GoogleログインとFacebookログインは、アクセスしているサービスにログイン情報を公開せずに認証を提供するフェデレーションIDサービスです。

SSOを使用すると、単一の認証資格情報（ユーザーIDとパスワード、スマートカード、ワンタイムパスワードトークン、または生体認証デバイス）が、単一の組織内の複数または異なるシステムにアクセスできます。フェデレーションID管理システムは、さまざまな企業の複数のシステムへのシングルアクセスを提供します。

ソース

Web SSOは、「資格情報を1回入力する必要があり、同じCookieプロバイダーの下にある場合は、ユーザー名とパスワードを再入力する必要はありません」と定義できます。それらが同じCookieプロバイダーの下にある場合」例：Gmail-> google

フェデレーションSSOは、「異なるエンタープライズ/ネットワークの下にあるアプリケーションを使用するか、他の組織を言うように求められる場合があります」と定義できます。 、この場合、フェデレーションが必要です。他の企業のWeb製品のサービス（サービスなど）を今すぐ使用する場合は、IDプロバイダー[IDP]として機能し、サービスプロバイダー[SP]になります。」

フェデレーションはプリンシパルですが、SSOは単なるユースケースです。 SSOは、人によって意味が異なる場合がありますが、一般的な意味は、「同じ資格情報を使用して、ローカルの多くの企業で広く使用されているセッションごとに1回ログインする」ことです。フェデレーションの原則は、多くの独立した企業が、ユーザーがログインしてすべてのサービスを使用できるようにしたい、つまり国境を越えてログを記録したいという問題を解決するようになります。このニーズから、シングルサインオンの一種である今日のフェデレーションSSOと呼ばれるものが生まれます。

シングルサインオンは説明する必要はありません！これはITシステムの品質です。一度ログインすると、セッション中、再認証しなくても承認の決定を下すことができます。

すべての微妙な点は、対象となるリソースの境界を拡大したい場合に発生します。シングル・サインオン。ローカルマシンとイントラネットドメインでは、戦いはずっと前に勝ちました。「忘れていましたが、オペレーティングシステムとドメインコントローラーにシングルサインオンを実装する必要がありました。

今日の戦いは、シングルサインを提供することです。 -世界中のすべてのWebサイトにあり、フェデレーションIDは、これを解決するために使用される2つのアーキテクチャパターンの1つです。もう1つは、より単純で一般的なIDが委任されています。違いはここで説明されています認証サーバーとして、たとえばOpenIdトークンであることだけを知っているIDトークンを受け入れて満足している場合、誰が生成したかを気にしない場合は、「フェデレーションIDを実行しています。

シングルサインオン（SSO）：シングルサインオンは、複数のサービスプロバイダー間でアクセスを提供するために使用されるユーザーのIDに関連する認証メカニズムの特性です。

SSOでは、単一の認証プロセス（単一のIDプロバイダーまたは他の認証メカニズムによって管理）が可能です。単一の組織内の複数のシステム間または複数の組織間で使用されます。

フェデレーションSSO：フェデレーションID管理はのサブディシプリンです。 IAMですが、通常は同じチームがサポートに関与します。フェデレーションは、アクターが複数の組織とセキュリティドメインにまたがるSSOの一種です。

フェデレーションはこれらの組織間に存在する信頼関係。これは、ユーザーの資格情報が実際に保存される場所と、信頼できるサードパーティが実際にそれらを確認せずにそれらの資格情報に対して認証する方法に関係します。

フェデレーション関係は、次のようないくつかの異なるプロトコルの1つを介して実現できます（ただし、に限定されません）：

• SAML1.1

• SAML2

• WS-フェデレーション

• OAuth2

• OpenID Connect

• WS-信頼

• さまざまな独自のプロトコル

シングルサインオン実装のリスト

コメント

• 提供するリンクとの関係を開示する必要があります。

同じID管理システムを信頼する複数のパーティでのFID調査。たとえば、YahooアカウントでFlicarにログインできます。 ;ここでFlicarはYahooに依存しており、あなたを認証するためにYahooを信頼しています。FIDでは、ユーザーとサービスプロバイダーの横にサードパーティ（IDプロバイダー）が存在する必要があります。

SSOはマルチにログインする方法を研究しています。シングルサインオンによるサービス。たとえば、hotmailアカウントにログインすると、再度ログインしなくてもSkyDriveサービスにログインできます。

例はありませんが、どちらでもかまいません。 FIDを使用してSSOで多くのサービスにログインするか、FIDを使用せずにSSOでログインできます。

コメント

• 言い回しは不十分ですが、これは