¿Cuál es la diferencia entre los métodos de autenticación de inicio de sesión federado y de inicio de sesión único?
Inicio de sesión único (SSO) permite a los usuarios acceder a múltiples servicios con un solo inicio de sesión.
El término es en realidad un pequeño ambiguo. A veces se usa para significar que (1) el usuario solo tiene que proporcionar las credenciales una sola vez por sesión, y luego obtiene acceso a múltiples servicios sin tener que iniciar sesión nuevamente durante esa sesión. Pero a veces se usa para significar (2) simplemente que las mismas credenciales se usan para múltiples servicios; el usuario podría tener que iniciar sesión varias veces, pero siempre tienen las mismas credenciales . Así que ten cuidado, no todos los SSO son iguales en ese sentido. Muchas personas (incluido yo) solo consideran el primer caso como "verdadero" SSO.
Identidad federada (FID) se refiere al lugar donde el usuario almacena sus credenciales. Alternativamente, el FID puede verse como una forma de conectar los sistemas de administración de identidades. En FID, las credenciales de un usuario siempre se almacenan con la organización "local" (el "proveedor de identidad"). Cuando el usuario inicia sesión en un servicio, en lugar de proporcionar credenciales al proveedor de servicios, el proveedor de servicios confía en el proveedor de identidad para validar las credenciales. Por lo tanto, el usuario nunca proporciona credenciales directamente a nadie, excepto al proveedor de identidad.
FID y SSO son diferentes, pero a menudo se usan juntos. La mayoría de los sistemas FID proporcionan algún tipo de SSO. Y muchos sistemas de SSO se implementan bajo el capó como FID. Pero no tienen que hacerse de esa manera; FID y SSO también pueden estar completamente separados.
SSO permite que una única credencial de autenticación (ID de usuario y contraseña, tarjeta inteligente, token de contraseña única o un dispositivo biométrico) tenga acceso a sistemas múltiples o diferentes dentro de una sola organización. Un sistema de gestión de identidades federadas proporciona acceso único a múltiples sistemas en diferentes empresas.
SSO web, se puede definir como "debe ingresar su credencial una vez y si están bajo el mismo proveedor de cookies, no necesita volver a ingresar el nombre de usuario y la contraseña si también están bajo el mismo proveedor de cookies", por ejemplo: Gmail- - > google
El SSO federado se puede definir como "se le puede pedir que use una aplicación que está bajo una red / empresa diferente o que diga otra organización, en este caso necesitamos tener una Federación, donde si desea usar el servicio de otra el producto web de las empresas, por ejemplo, el servicio ahora, servirá como proveedor de identidad [IDP] y ellos serán el proveedor de servicio [SP] "
La federación es un principal, mientras que SSO es solo un caso de uso. SSO puede significar cosas diferentes para diferentes personas, pero el significado común es "usar la misma credencial para iniciar sesión una vez por sesión que se usa ampliamente en muchas empresas a nivel local". El principio de la federación viene a resolver el problema de muchas empresas independientes que desean permitir que sus usuarios inicien sesión para usar todos sus servicios, en otra palabra, el registro a través de la frontera. De esta necesidad surge lo que se llama hoy SSO federado, que es un tipo de inicio de sesión único.
¡El inicio de sesión único no necesita explicación! Es la calidad de un sistema informático. Inicia sesión una vez, y durante la sesión, se pueden tomar decisiones de autorización sin que tenga que volver a autenticarse.
Toda la sutileza se produce cuando desea ampliar el perímetro de los recursos cubiertos por el inicio de sesión único. En las máquinas locales y los dominios de intranet, las batallas se ganaron hace tanto tiempo que hemos olvidado, pero el inicio de sesión único tuvo que implementarse en sistemas operativos y controladores de dominio.
La batalla de hoy es proporcionar un inicio de sesión único a todos los sitios web del mundo, y la identificación federada es uno de los dos patrones arquitectónicos utilizados para resolver esto. El otro, más simple y más frecuente, es el ID delegado. La diferencia se explica aquí Si, como servidor de autorización, usted estamos felices de aceptar un token de identidad sabiendo solo que es, por ejemplo, un token OpenId, no importa quién lo generó, entonces estás haciendo una identificación federada.
FID investiga en varias partes confiando en el mismo sistema de gestión de identidades, por ejemplo, puede iniciar sesión en Flicar con su cuenta de Yahoo; aquí, Flicar depende de Yahoo y confía en él para autenticarlo. En FID debe haber un tercero (proveedor de identidad) junto al usuario y el proveedor de servicios.
SSO está investigando cómo iniciar sesión en los servicios múltiples mediante el inicio de sesión único. Por ejemplo, si inicia sesión en su cuenta de Hotmail, podrá iniciar sesión en el servicio SkyDrive sin necesidad de iniciar sesión nuevamente.
No tengo un ejemplo, pero creo que puede iniciar sesión mediante SSO en muchos servicios utilizando FID o puede iniciar sesión mediante SSO sin usar FID.
Lea otras preguntas en las etiquetas authentication federation single-sign-on