Jaka jest różnica między logowaniem federacyjnym a logowaniem jednokrotnym?

Single Sign-on (SSO) umożliwia użytkownikom dostęp do wielu usług za pomocą jednego loginu.

Termin jest właściwie trochę niejednoznaczny. Czasami oznacza to, że (1) użytkownik musi podać poświadczenia tylko raz na sesję, a następnie uzyskać dostęp do wielu usług bez konieczności ponownego logowania się podczas tej sesji. Ale czasami oznacza to ( 2) wystarczy, że te same dane uwierzytelniające są używane w wielu usługach; może być konieczne wielokrotne logowanie, ale zawsze są to te same dane logowania . Uważaj więc, pod tym względem wszystkie logowania jednokrotne nie są takie same. Wiele osób (w tym ja) uważa tylko pierwszy przypadek za „prawdziwe” logowanie jednokrotne.

Tożsamość federacyjna (FID) odnosi się do miejsca, w którym użytkownik przechowuje swoje poświadczenia. Alternatywnie FID można postrzegać jako sposób na połączenie ze sobą systemów zarządzania tożsamością. W FID poświadczenia użytkownika są zawsze przechowywane w organizacji „macierzystej” („dostawca tożsamości”). Gdy użytkownik loguje się do usługi, zamiast udostępniać poświadczenia usługodawcy, ufa dostawcy tożsamości sprawdzić poprawność poświadczeń. Dlatego użytkownik nigdy nie dostarcza poświadczeń bezpośrednio nikomu poza dostawcą tożsamości.

FID i SSO są różne, ale bardzo często są używane razem. Większość systemów FID zapewnia pewnego rodzaju SSO. I wiele SSO systemy są wdrażane pod maską jako FID, ale nie trzeba tego robić w ten sposób; FID i SSO również mogą być całkowicie oddzielne.

Komentarze

• Dziękuję. Wydaje mi się to teraz (tak mi się wydaje) o wiele bardziej sensowne, ale dopiero po twojej interpretacji, ponieważ strona FID w Wikipedii nie rozwiązała dla mnie różnicy. Tak więc, BrowserID to SSO, a dostęp do stackoverflow za pomocą konta Google to FID?
• Czy byłoby uczciwie myśleć o usługach Google (Gmail, Dysk, YouTube itp.) Jako kanonicznym przykładzie logowania jednokrotnego, a ” Zaloguj się za pomocą przycisku ” na Facebooku jako kanoniczny przykład FID?
• To ' tak bym to zinterpretował. Google Login i Facebook Login to sfederowane usługi tożsamości, które zapewniają uwierzytelnianie bez ujawniania informacji logowania w usłudze, do której uzyskujesz dostęp.

SSO umożliwia pojedynczemu poświadczeniu uwierzytelniającemu – identyfikatorowi użytkownika i hasłu, karcie inteligentnej, jednorazowemu tokenowi hasła lub urządzeniu biometrycznemu – dostęp do wielu lub różnych systemów w ramach jednej organizacji. Sfederowany system zarządzania tożsamością zapewnia pojedynczy dostęp do wielu systemów w różnych przedsiębiorstwach.

źródło

Logowanie jednokrotne w sieci Web, może być zdefiniowane jako „musisz raz podać swoje poświadczenia i jeśli są one objęte tym samym dostawcą plików cookie, nie musisz ponownie wprowadzać nazwy użytkownika i hasła jeśli mają również tego samego dostawcę plików cookie, np .: Gmail -> google

Sfederowane logowanie jednokrotne można zdefiniować jako „możesz zostać poproszony o użycie aplikacji, która znajduje się w innym przedsiębiorstwie / sieci lub powiedz innej organizacji , w tym przypadku musimy mieć Federację, gdzie jeśli chcesz teraz korzystać z usługi innej firmy, produktu internetowego, np. usługi, będziesz służyć jako dostawca tożsamości [IDP], a on będzie dostawcą usług [SP] „

Federacja to jednostka główna, podczas gdy logowanie jednokrotne to tylko przypadek użycia. SSO może oznaczać różne rzeczy dla różnych osób, ale powszechne znaczenie to „używanie tego samego poświadczenia do logowania się raz na sesję, co jest powszechnie stosowane w wielu przedsiębiorstwach lokalnie”. Zasada federacji rozwiązuje problem polegający na tym, że wiele niezależnych przedsiębiorstw chce pozwolić swoim użytkownikom zalogować się, aby korzystać ze wszystkich swoich usług, innymi słowy, logując się za granicą. Z tej potrzeby wynika tak zwane obecnie federacyjne logowanie jednokrotne, które jest jednym z rodzajów pojedynczego logowania.

Pojedyncze logowanie nie wymaga wyjaśnień! To jest jakość systemu IT. Logujesz się raz i przez cały czas trwania sesji decyzje dotyczące autoryzacji mogą być podejmowane bez konieczności ponownego uwierzytelniania.

Cała subtelność pojawia się, gdy chcesz powiększyć zakres zasobów objętych jednokrotne logowanie. Na komputerach lokalnych i domenach intranetowych bitwy zostały wygrane tak dawno temu, że zapomnieliśmy, ale logowanie jednokrotne musiało zostać wdrożone w systemach operacyjnych i kontrolerach domen.

Dzisiejsza walka polega na zapewnieniu pojedynczego znaku -na każdej witrynie internetowej na świecie, a identyfikator federacyjny jest jednym z dwóch wzorców architektonicznych zastosowanych do rozwiązania tego problemu. Drugi, prostszy i bardziej rozpowszechniony, to id.Różnica jest wyjaśniona tutaj Jeśli jako serwer autoryzacji „z przyjemnością akceptujesz token tożsamości, wiedząc tylko, że jest to na przykład token OpenId , nie dbając o to, kto go wygenerował, wtedy „robisz federacyjny identyfikator.

Jednokrotne logowanie (SSO): Pojedyncze Logowanie jest cechą mechanizmu uwierzytelniania związanego z tożsamością użytkownika używaną do zapewniania dostępu do wielu dostawców usług.

Logowanie jednokrotne umożliwia pojedynczy proces uwierzytelniania (zarządzany przez jednego dostawcę tożsamości lub inny mechanizm uwierzytelniania) do użytku w wielu systemach w jednej organizacji lub w wielu organizacjach.

Sfederowane logowanie jednokrotne: Federated Identity Management jest podkategorią IAM, ale zazwyczaj ten sam zespół (y) jest zaangażowany we wspieranie go. Federacja to rodzaj logowania jednokrotnego, w którym aktorzy obejmują wiele organizacji i domen bezpieczeństwa.

Federacja jest relacje zaufania istniejące między tymi organizacjami; chodzi o to, gdzie faktycznie przechowywane są poświadczenia użytkownika i w jaki sposób zaufane osoby trzecie mogą uwierzytelniać się na podstawie tych poświadczeń bez ich rzeczywistego przeglądania.

Relację federacyjną można osiągnąć za pomocą jednego z kilku różnych protokołów, w tym (ale nie ogranicza się do):

• SAML1.1

• SAML2

• WS-Federation

• OAuth2

• OpenID Connect

• WS- Zaufanie

• Różne zastrzeżone protokoły

Możesz również sprawdzić lista implementacji pojedynczego logowania

Komentarze

• Musisz ujawnić swoją relację za pomocą podanego linku.

Badanie FID w wielu podmiotach ufających temu samemu systemowi zarządzania tożsamością, na przykład możesz zalogować się do Flicar za pomocą konta Yahoo ; tutaj Flicar polega na Yahoo i wierzy w to, że może Cię uwierzytelnić. W FID musi istnieć strona trzecia (dostawca tożsamości) obok użytkownika i dostawcy usług.

SSO bada, jak zalogować się do multi usługi przez pojedyncze logowanie. na przykład, jeśli zalogujesz się na swoje konto hotmail, będziesz mógł zalogować się do usługi SkyDrive bez konieczności ponownego logowania.

Nie mam przykładu, ale myślę, że możesz albo logować się przez SSO do wielu usług przy użyciu FID lub możesz zalogować się przez SSO bez używania FID.

Komentarze

• Choć źle sformułowane, to nie jest ' t znacząco różni się od lepiej opisanej odpowiedzi Marka. Jedynym problemem, jaki widzę, jest to, że sugeruje, że sfederowane logowania są z usługami publicznymi, ale mogą również odbywać się przez serwery inne niż prywatne / korporacyjne itp. Nawet dotyka SSO, które można zaimplementować z FID. Czy ' nie zasługuje na więcej, ale nie powinno ' być -1.