F5-Glossar

Föderation

Was ist Föderation?

Föderation bezieht sich im allgemeinen Sinne auf Zusammenarbeit oder Zusammenschluss. Im Kontext des Internets beschreibt Föderation jedoch speziell die Integration der Benutzerauthentifizierung über mehrere Internetdienste hinweg. Durch die gemeinsame Nutzung von Authentifizierungsinformationen zwischen verschiedenen Diensten können Benutzer mit einem einzigen Authentifizierungsereignis auf mehrere Applications oder Plattformen zugreifen.

Eine beliebte Implementierungsmethode für die Föderation ist SAML (Security Assertion Markup Language), ein Standardprotokoll zur domänenübergreifenden Benutzerauthentifizierung. SAML ermöglicht Benutzern die Nutzung der Single Sign-On (SSO)-Funktionalität, um auf mehrere Dienste zuzugreifen, die auf unterschiedlichen Internetdomänen gehostet werden. Durch die Verwendung von SAML zwischen einem internen System und einem Cloud-Dienst können sich Benutzer beispielsweise beim internen System anmelden und gleichzeitig auf den Cloud-Dienst zugreifen, ohne sich ein zweites Mal authentifizieren zu müssen. SAML, basierend auf XML, wurde 2002 entwickelt, Version 2.0 wurde 2005 eingeführt.

Um SSO zwischen verschiedenen Domänen zu ermöglichen, müssen Authentifizierungsinformationen zwischen diesen Domänen ausgetauscht werden. In der SAML-Terminologie:

  • Ein Identitätsanbieter (IdP) stellt Authentifizierungsinformationen aus und kümmert sich um die Benutzerüberprüfung und Assertionsgenerierung.
  • Ein Dienstanbieter (SP) verlässt sich auf die Authentifizierungsinformationen, um Zugriff auf seine Dienste zu gewähren.

Wenn ein Benutzer versucht, auf einen SP zuzugreifen, leitet der SP die Anforderung zusammen mit einer SAML-Authentifizierungsanforderung an den IdP weiter. Der IdP verarbeitet die Benutzerauthentifizierung basierend auf der empfangenen Anfrage. Sobald die Authentifizierung abgeschlossen ist, gibt der IdP eine Assertion aus, die Details wie Authentifizierungsstatus, Benutzerattribute und Zugriffsberechtigungen enthält. Der SP verwendet diese Behauptung, um die Zugriffskontrolle durchzusetzen und entsprechende Berechtigungen zu erteilen.

F5 BIG-IP Access Policy Manager (APM) ist eine von F5 bereitgestellte Lösung, die SAML 2.0 unterstützt und SSO-Funktionen umfasst. Es kann als IdP fungieren, um die Benutzerauthentifizierung zu handhaben und Assertionen auszugeben, oder als SP, um Assertionen zu empfangen und den Zugriff auf Applications zu steuern.