Kimlik aracısı nasıl çalışır
Kimlik aracısı, federasyonda iki rolü birden oynar. Uygulamalara karşı onların güvendiği kimlik sağlayıcı gibi davranır; üstteki kimlik kaynaklarına karşı ise servis sağlayıcı veya güvenen taraf olur. Kullanıcı geldiğinde aracı; e-posta alan adına, açık bir seçim ekranına veya politikaya göre hangi üst sağlayıcının doğrulama yapacağına karar verir ve kullanıcıyı oraya yönlendirir.
Üst sağlayıcı kullanıcıyı doğruladıktan sonra aracı, gelen onayı alır, doğrular, gerekirse öznitelikleri zenginleştirir veya yeniden eşler ve uygulamanın konuştuğu protokolde kendi jetonunu üretir. Bu çeviri yeteneği aracının temel değeridir: yalnızca SAML anlayan eski bir uygulama, modern bir OIDC sağlayıcısıyla doğrulanan kullanıcıları kabul edebilir; tersi de geçerlidir ve iki tarafın birbirinden haberi olması gerekmez.
Kimlik aracısı neden önemli
Aracı olmadan M uygulamayı N kimlik sağlayıcıya bağlamak, her biri kendi sertifikaları, meta verileri ve inceliklerine sahip M çarpı N entegrasyon demektir. Aracı bunu M artı N'ye indirir: her uygulama aracıyla bir kez, her sağlayıcı da bir kez bağlanır. Bu aritmetik, her kurumsal müşterinin kendi kimlik sağlayıcısını getirmek istediği B2B yazılım dünyasında büyük önem taşır.
Aracılar yönetişimi de merkezileştirir. Öznitelik eşleme, MFA zorunluluğu ve oturum politikası her bağlantı için ayrı ayrı kurgulanmak yerine tek bir yerde tutulur; üst sağlayıcıyı değiştirmek uygulamayı yeniden yazmak yerine bir yapılandırma değişikliğine dönüşür. Birleşmeler, satın almalar ve kademeli bulut geçişlerinin tümü bu özelliğe yaslanır.
Uygulamada kimlik aracısı
Tipik aracı kurulumları arasında kendi IdP'leriyle gelen kurumsal müşterileri sisteme alan B2B platformlar, şirket içi dizin döneminden bulut kimlik dönemine köprü kuran kurumlar ve ayrı kimlik alanlarına sahip olup uygulamaları paylaşmak zorunda olan şirket grupları bulunur. Belirli bir kullanıcının hangi sağlayıcıya ait olduğuna karar verme işi, genellikle e-posta alan adı kurallarıyla ve yedek bir seçim ekranıyla yürütülür.
Tasarım özeni, güven ve öznitelik hijyenine harcanır: aracı, üstten gelen onayları sıkı biçimde doğrulamalı, öznitelikleri tutarlı bir şemaya dönüştürmeli ve üst sağlayıcının güvenceleri bilinmiyorsa kendi MFA veya risk politikasını uygulamalıdır. Monosign, SAML ve OIDC üzerinde hem kimlik sağlayıcı hem servis sağlayıcı olarak çalışır; bu da uygulamalar ile dış veya eski kimlik kaynakları arasında aracılık yapmasına olanak tanır.