O Gerenciamento de Identidade Federada (Federated Identity Management - FIM) e Single Sign On (SSO) por vezes são tidos como sinônimos, quando na verdade possuem características próximas mas não iguais. O FIM oferece o recurso de SSO, mas o SSO não possui FIM. Devido a semelhança, o FIM também pode ser conhecido como SSO Federado. A diferenciação é muito importante para a implementação adequada e eficaz da arquitetura de autenticação e gestão de identidades e acessos.
Single Sign On (SSO)
Como o próprio nome diz, o Single Sign On (SSO) permite que os usuários acessem vários serviços com um único login, garantindo assim credenciais únicas e centralizadas. Através do SSO, muitos recursos de proteção à autenticação podem ser implementados, como por exemplo token OTP para permitir a autenticação Multifator (MFA).
Federated Identity Management (FIM) / SSO Federated
O Federated Identity Management (FIM), ou Gerenciamento de Identidade Federada em português, diz respeito a uma maneira de conectar sistemas de gerenciamento de identidade entre domínio ou organizações distintas, realizando assim a federação através da criação de relações de confiança entre as organizações, permitindo o compartilhamento seguro de dados de autenticação. Dessa forma é reduzida a necessidade de os usuários manterem diversas credenciais e simplificando o processo de logon para usuários que precisam acessar recursos em diferentes organizações ou domínios.
Sendo assim, as credenciais do usuário são armazenadas no provedor da identidade da organização de origem e com essa mesma credencial é permitido o acesso a serviços pertencentes a outro domínio/organização. Quando o usuário acessa um serviço, ele fornecerá credencial ao provedor da identidade ao invés do provedor do serviço (que pode estar em outra organização ou domínio). Este irá confiar no provedor da identidade para validar as credenciais. Dessa forma há uma federação entre o provedor de serviço e o provedor da identidade. Sendo que um provedor de identidades pode atender a diversos provedores de serviços.
No exemplo abaixo, há uma representação gráfica.
No cenário 1 há uma representação do Single Sign On, no qual o usuário conecta com sua credencial no Identity Provider (IdP) e por meio dele autentica nos Services Providers (SP).
No cenário 2 há uma representação do FIM, no qual o usuário da organização C conecta com sua credencial no Identity Provider (IdP) da organização C e, por meio dela autentica no Service Provider (SP) da organização B. Nesse cenário o Service Provider da Organização B possui uma relação de confiança com o Identity Provider da Organização C, ou seja, confia na autenticação realizada por ele e permite o acesso.
O FIM é implementado por meio de protocolos padrão, tal como SAML, OAuth, OpenID Connect e SCIM. Por meio desses padrões é permitido a transmissão segura de informações de autenticação e acesso entre domínios/organizações. Dessa forma, ao invés do usuário precisar criar credenciais nos diferentes serviços das distintas organizações, ele pode ter uma única credencial no provedor de identidades de sua organização que estará federada com os serviços das demais organizações.
Dentre as principais diferenças entre FIM e SSO, destaca-se o quesito de autenticação, autorização e escala.
Autenticação e autorização: enquanto o SSO realiza a autenticação centralizada para os usuários e compartilha essa autenticação entre os diferentes sistemas e serviços da mesma organização, o FIM permite o compartilhamento de informações de autenticação de credenciais de usuários de diferentes organizações ou domínios, através do estabelecimento de relação de confiança.
Escopo e escala: como o SSO tem o foco na mesma organização o FIM tende a ser utilizado em maior escala e em contextos de maiores complexidades entre organizações ou domínios.
Conclusão
O FIM e SSO possuem características próximas, mas são diferentes. Vale reforçar que o FIM oferece o recurso de SSO, mas o SSO não possui FIM. A principal diferença é que enquanto SSO tem o foco na centralização da autenticação e credencial, o FIM permite a relação de confiança entre organizações ou domínio e com isso, compartilha informações da autenticação entre elas.
Comentários