フェデレーションログインとシングルサインオンの認証方法の違いは何ですか?
シングルサインオン(SSO) ユーザーは、1回のログインで複数のサービスにアクセスできます。
用語は実際には少しあいまいです。 (1)ユーザーは資格情報をセッションごとに1回提供するだけでよく、そのセッション中に再度サインインする必要なく複数のサービスにアクセスできることを意味する場合があります。ただし、(2)同じ資格情報が複数のサービスに使用されることを意味する場合もあります。 ユーザーは複数回ログインする必要があるかもしれませんが、常に同じ資格情報です 。したがって、すべてのSSOはその点で同じではありません。多くの人々(私も含まれます)は、最初のケースを「真の」SSOと見なしています。
フェデレーションID(FID) は、ユーザーが資格情報を保存する場所を指します。または、FIDは、ID管理システムを相互に接続する方法と見なすこともできます。 FIDでは、ユーザーの資格情報は常に「ホーム」組織(「アイデンティティプロバイダー」)に保存されます。ユーザーがサービスにログインすると、サービスプロバイダーに資格情報を提供する代わりに、サービスプロバイダーはIDプロバイダーを信頼して資格情報を検証します。そのため、ユーザーはIDプロバイダー以外の誰にも直接資格情報を提供することはありません。
FIDとSSOは異なりますが、一緒に使用されることがよくあります。ほとんどのFIDシステムは、ある種のSSOを提供します。また、多くのSSOシステムはFIDとして内部で実装されています。しかし、そのようにする必要はありません。 FIDとSSOも完全に分離することができます。
SSOを使用すると、単一の認証資格情報(ユーザーIDとパスワード、スマートカード、ワンタイムパスワードトークン、または生体認証デバイス)が、単一の組織内の複数のシステムまたは異なるシステムにアクセスできます。フェデレーションID管理システムは、さまざまな企業の複数のシステムへの単一のアクセスを提供します。
ウェブSSOは、「一度資格情報を入力する必要があり、それらが同じCookieプロバイダーの下にあり、同じCookieプロバイダーの下にある場合は、ユーザー名とパスワードを再入力する必要がない」と定義できます。例:Gmail-> google
フェデレーションSSOは、「別の企業やネットワークの下にあるアプリケーションを使用するか、他の組織と言う場合があります。この場合、フェデレーションが必要です。別の企業のWeb製品のサービスを使用する場合は、たとえば、今すぐサービスを提供すると、IDプロバイダー[IDP]として機能し、サービスプロバイダー[SP]になります。 "
フェデレーションはプリンシパルですが、SSOは単なるユースケースです。 SSOは人によって意味が異なる場合がありますが、一般的な意味は「ローカルで多くの企業で広く使用されている、セッションごとに1回同じログイン情報を使用してログインする」ことです。フェデレーションの原則は、国境を越えた別のWordロギングで、ユーザーがすべてのサービスを使用するためにログインできるようにしたいという多くの独立した企業の問題を解決することになります。このニーズから、今日のシングルサインオンの一種であるフェデレーテッドSSOと呼ばれるものが生まれました。
シングルサインオン(SSO): シングルサインオン は、複数のサービスプロバイダーにアクセスを提供するために使用されるユーザーのIDに関連する認証メカニズムの特性です。
SSOを使用すると、単一の認証プロセス(単一のIDプロバイダーまたは他の認証メカニズムによって管理される)を、単一の組織内の複数のシステム間または複数の組織間で使用できます。
フェデレーションSSO: Federated Identity Management はIAMのサブ分野ですが、通常、同じチームがそれをサポートします。フェデレーションは、アクターが複数の組織とセキュリティドメインにまたがるタイプのSSOです。
フェデレーションは、これらの組織間に存在する信頼関係です。これは、ユーザーの資格情報が実際に保存される場所と、信頼できるサードパーティが実際にそれらを表示せずにそれらの資格情報に対して認証する方法に関係しています。
フェデレーション関係は、次のようないくつかのプロトコルのいずれかを使用して実現できます(ただし、これらに限定されません)。
SAML1.1
SAML2
WSフェデレーション
OAuth2
OpenID Connect
WS-Trust
さまざまな独自プロトコル
シングルサインオン実装のリスト も確認できます。
シングルサインオンについて説明する必要はありません。それはITシステムの品質です。一度ログインすると、セッションの期間中、再認証することなく承認の決定を行うことができます。
シングルサインオンの対象となるリソースの境界を拡大したい場合、すべての微妙な問題が発生します。ローカルマシンとイントラネットドメインでの戦いはかなり前に勝利しましたが、忘れていましたが、シングルサインオンをオペレーティングシステムとドメインコントローラーに実装する必要がありました。
今日の戦いは、世界中のすべてのWebサイトにシングルサインオンを提供することであり、フェデレーテッドIDは、これを解決するために使用される2つのアーキテクチャパターンの1つです。もう1つはより単純で普及しているIDの委任です。違いは説明されています ここ 承認サーバーとして、それがOpenIdトークンであることがわかっているだけでIDトークンを受け入れて、誰が生成したかを気にしていない場合は、連携IDを実行しています。
同じID管理システムを信頼しているマルチパーティでFIDを調査します。たとえば、YahooアカウントでFlicarにログインできます。ここで、FlicarはYahooに依存し、それを信頼して信用を確立します。
SSOはシングルサインインでマルチサービスにログインする方法を調査しています。たとえば、hotmailアカウントにログインすると、再度ログインしなくてもSkyDriveサービスにログインできます。
例はありませんが、FIDを使用して多くのサービスにSSOでログインすることも、FIDを使用せずにSSOでログインすることもできると思います。