7.4. Szerepek

Egy szövetségen belül, az üzleti partnerek két szerepet játszhatnak: Identity Provider (Identitás Szolgáltató, IdP) vagy Service Provider (Tartalomszolgáltató, SP) esetlegesen mindkettő. Az identitásszolgáltató a hitelesítő fél, hitelesíti a végfelhasználót és valamilyen megbízható formában identitást állít ki a usernek. Azok a partnerek a tartalomszolgáltatók, akik szolgáltatásokat kínálnak, de nem identitásszolgáltatók. Az IdP vállalja magára a felhasználói életciklus menedzsmenttel kapcsolatos problémákat. Az tartalomszolgáltató (SP) az IdP-re támaszkodik, hogy az hitelesítse a felhasználóval kapcsolatos információkat, és így az SP csak azon user attribútumokat kezeli melyek a saját maga számára fontosak.

7.3. ábra: Identitásszolgáltató és tartalomszolgáltató a szövetségi modellben

7.4.1. Identitásszolgáltató - IdP

Az IdP felelős az account létrehozásáért, a beállításokért, az azonosító és az általános account kezelésért továbbá gyűjtőpontként vagy kliensként viselkedik a megbízható identitásszolgáltatókhoz. Egy szövetségi partner, amely a felhasználók IdP-jeként működik, megszabadítja a többi partnert a felhasználókra vonatkozó ekvivalens adatokat kezelésének terhétől. Az SP-k az IdP-vel kialakított bizalmi kapcsolat alapján fogadják el az IdP által a felhasználókról kiadott hitelesített információkat. Ez lehetővé teszi a tartalomszolgáltatóknak, hogy az azonosítás és hozzáférés menedzsment költségeit átruházzák a federáción belül az identitásszolgáltatóra.

7.4.2. Tartalomszolgáltató – SP

A tartalomszolgáltatók védett tartalmakat szolgáltatnak a felhasználók számára. A felhasználók személyes adataival általában nem rendelkeznek, ezért nem szükséges a felhasználókat adminisztrálniuk sem.

A tartalomszolgáltató funkciói (a funkciók föderációs modelltől függően ezektől eltérhetnek):

  • azonosított kapcsolat létrehozása az identitásszolgáltató segítségével

  • az identitás szolgáltatótól kapott adatok értelmezése

  • az identitás szolgáltatótól kapott adatok alapján meghatározni, hogy a felhasználó jogosult-e a művelet végrehajtására (autorizáció)

A tartalomszolgáltató kezelhet helyi információt a felhasználókról, még a szövetség kontextusán belül is. Például, belépve egy szövetségi azonosítás menedzsment kapcsolatba lehetséges, hogy egy tartalomszolgáltató átadja az accountkezelést, beleértve a jelszó menedzsmentet, egy IdP-nek míg az SP a saját user-specifikus adatok kezelésére fókuszál: például SP oldali szolgáltatás-specifikus attribútumok és a személyre szabással kapcsolatos információk. Általában a tartalomszolgáltató rábízza az azonosítás menedzsmentet az identitásszolgáltatóra, így minimalizálva az azonosítási követelményeket miközben változatlanul elérhetővé teszi a teljes tartalomszolgáltatói funkcionalitást.