什么是联邦?
联盟,一般意义上是指合作或联合。 然而,在互联网背景下,联合具体描述了跨多个互联网服务的用户身份验证的集成。 通过在不同服务之间共享身份验证信息,用户可以通过单个身份验证事件访问多个应用或平台。
联合的一种流行实现方法是 SAML(安全断言标记语言),这是一种跨域执行用户身份验证的标准协议。 SAML 使用户能够利用单点登录 (SSO) 功能访问跨不同互联网域托管的多项服务。 例如,通过在内部系统和云服务之间使用 SAML,用户可以登录内部系统并同时访问云服务,而无需再次进行身份验证。 SAML 基于 XML,于 2002 年建立,2005 年推出 2.0 版本。
为了在不同的域之间启用 SSO,必须在这些域之间交换身份验证信息。 用 SAML 术语来说:
当用户尝试访问 SP 时,SP 会将请求连同 SAML 身份验证请求一起重定向到 IdP。 IdP 根据收到的请求处理用户身份验证。 一旦身份验证完成,IdP 就会发出一个断言,其中包含身份验证状态、用户属性和访问权限等详细信息。 SP 使用此断言来强制访问控制并授予适当的权限。
F5 BIG-IP 访问策略管理器 (APM)是 F5 提供的解决方案,支持 SAML 2.0 并包含 SSO 功能。 它可以作为 IdP 来处理用户身份验证和发出断言,或者作为 SP 来接收断言并控制对应用的访问。