Benutzeridentitäten und die damit verbundenen Attribute stehen meistens nur innerhalb eines Security-Realms, etwa eines Unternehmens, zur Verfügung. Bei der Zusammenarbeit von Unternehmen ist es jedoch oft notwendig, dass Mitarbeiter aus einer Firma auf Anwendungen einer anderen zugreifen. Dies wird üblicherweise mit einer Anmeldung an der dortigen Anwendung realisiert.
Schöner wäre es aber, wenn der Benutzer für die Anmeldung das gleiche Konto verwenden könnte, mit dem er sich auch im eigenen Netzwerk anmeldet, ohne dass hierfür die Anwendung des anderen Unternehmens einen direkten Zugriff auf den eigenen Identity-Store erhält. Damit entfiele die Notwendigkeit, eine zusätzliche Datenbank mit Konten externer Personen einrichten zu müssen, auf die die Anwendung bei der Anmeldung dann zurückgreift.
Hierzu ist eine Vertrauensstellung zwischen den unterschiedlichen Security-Realms aufzubauen, sodass Benutzer aus dem einen Realm auf Ressourcen des anderen Realms zurückgreifen können. Bei diesem Zugriff kümmert sich ein Identity-Provider (IdP) dann darum, den Benutzer über den eigenen Identity-Store zu authentifizieren. Die Anwendung im
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.