Hoppa till innehållet

Federerad identitet

Från Wikipedia

Inom informationsteknik är en federerad identitet en användaridentitet som kan användas inom flera olika organisationer, eftersom organisationerna har enats om hur man ska hantera identiteter över organisationsgränserna. Grundidén är att en given användare som autentiserat sig hos en organisation kan med automatik bli autentiserad hos en annan organisation som ingår i federationen, det vill säga en single sign-on som överskrider organisationsgränserna.

Vid praktisk tillämpning av federerade identiteter är en av grundstenarna ett tillitsförhållande mellan de organisationer som ingår i federationen. Tilliten ligger i att en organisation litar på att en annan organisation genomfört autentisering – identifiering + verifiering – på ett korrekt sätt och att den genomförs i en kontrollerad och tillförlitlig IT-miljö.

En federation består av olika aktörer där respektive organisation som ingår i federationen kan vara olika aktör beroende på kontext och interaktion.

Aktörer i en federation

[redigera | redigera wikitext]

Identity Provider (IdP)

[redigera | redigera wikitext]

En Identity Provider ansvarar för autentisering av användare och utfärdar identitetsbevis för användarens identitet till övriga intressenter i federationen. Det är Identity Providern som är källan till att autentiseringar kan återanvändas i form av organisationsöverskridande single sign-on. En Identity Provider kan dessutom utfärda annan information om användaren till exempel identitetsattribut (namn, adress, e-post, etc.) och auktorisationsinformation (roll, rättighetsattribut, etc.), denna information utfärdas antingen direkt i identitetsbeviset eller som svar på frågor som ställs av intressenterna efter att de mottagit identitetsbeviset.

Service Provider (SP)

[redigera | redigera wikitext]

En Service Provider erbjuder tjänster som nyttjas av användare. Tjänsterna är skyddade och kräver inloggning och i förekommande fall även behörighetskontroll. En Service Provider är intressent till de identitetsbevis, identitetsattribut och auktorisationsinformation som utfärdas av Identity Provider för respektive användare.

User Agent (UA)

[redigera | redigera wikitext]

En User Agent är en användare som autentiseras hos en Identity Provider och tillåter att identiteten federeras till en Service Provider där användarens nyttjar en tjänst.

Autentiseringsprocessen

[redigera | redigera wikitext]

Autentiseringsprocessen hos Identity Providern resulterar i en styrkt identitet för användaren. Denna identitet är användarens primära identitet för den session som Identity Providern skapar för användaren också som ett resultat av autentiseringsprocessen. En session etableras genom att Identity Providern sätter en cookie i användarens webbläsare, i typiska implementationer är cookien endast giltig under en begränsad tid och endast så länge samma instans av webbläsaren körs.

Användarens primära identitet är dock inte alltid den som är aktuell att federera till en Service Provider. Ett exempel på detta är en användare som kontaktar en Service Provider i rollen som representant för ett företag och där Service Providern förväntar sig ett organisationsnummer som användaridentitet. Lösningen för detta användningsfall är identitetsmappning.

Exempel på identitetsfederationer

[redigera | redigera wikitext]

Exempel på leverantörer av lösningar för federerade identiteter

[redigera | redigera wikitext]

Exempel på öppen programvara som ger stöd åt federerad identitet

[redigera | redigera wikitext]