Kimlik federasyonu nasıl çalışır
Federasyon, iki taraf arasında bir güven ilişkisi kurar: kullanıcıların kimliğini doğrulayan bir kimlik sağlayıcı (IdP) ve uygulamayı ya da kaynağı barındıran bir servis sağlayıcı (SP). Bu güvenin temeli kriptografidir. SP, IdP'nin genel imza sertifikasını tutar; IdP de SP'nin meta verilerini, uç noktalarını ve beklenen hedef kitle değerlerini bilir.
Kullanıcı servise erişmeye çalıştığında SP onu IdP'ye yönlendirir. IdP, kullanıcıyı kendi dizinine ve politikalarına göre doğrular; ardından kullanıcının kimliğini ve özniteliklerini içeren imzalı bir onay ya da jeton döndürür. SP imzayı doğrular ve kullanıcının parolasını hiç görmeden bir oturum başlatır. Bu alışverişi SAML 2.0, OpenID Connect ve WS-Federation gibi standart protokoller taşır.
Kimlik federasyonu neden önemli
Federasyon olmadan her uygulama kendi kullanıcı deposunu ve parola veritabanını tutar; her iş ortaklığı veya satın alma, hesapların kopyalanması anlamına gelir. Federasyon, kimliği tek bir yetkili kaynakta tutarken istenilen sayıda uygulamanın, iş ortağının ve bulut platformunun bu kimliği kullanmasına izin verir. Kullanıcılar tek bir oturumla çalışır; güvenlik ekipleri de MFA'yı, oturum politikalarını ve işten çıkış süreçlerini tek bir noktadan uygular.
Federasyon ayrıca B2B ve çok kurumlu senaryoları uygulanabilir kılar. Bir tedarikçinin çalışanları, kendi kurumsal kimlik bilgileriyle sizin portalınıza erişebilir; işverenleri hesabı kapattığında sizin sistemlerinize erişim de kendiliğinden sona erer. Kimlik doğrulama sorumluluğu, kullanıcıyı gerçekten tanıyan kurumda kalır.
Uygulamada kimlik federasyonu
Bir federasyon projesi, güven ilişkisinin hangi tarafında olduğunuza karar vermekle başlar. Çalışan dizinini siz yönetiyorsanız IdP rolünü üstlenir, SaaS ve iç uygulamaları SP olarak bağlarsınız. İş ortaklarının veya müşterilerin oturum açtığı bir uygulamayı barındırıyorsanız SP rolünü üstlenir ve onların IdP'lerinden gelen onayları kabul edersiniz. Birçok kurum iki rolü aynı anda oynar.
Pratikteki iş; meta verilerin karşılıklı paylaşılması, e-posta, grup ve rol gibi özniteliklerin her uygulamanın beklediği taleplere eşlenmesi, imza doğrulamasının ve oturum sürelerinin test edilmesidir. Monosign hem SAML 2.0 servis sağlayıcı hem de kimlik sağlayıcı olarak çalışabilir; ayrıca PKCE destekli OIDC ve OAuth 2.0 ile WS-Fed üzerinden de federasyon kurarak bu güven ilişkilerinin iki tarafını da kapsar.