Note sur le concept de fédération en sécurité

La philosophie de spécifications telles que SAML tient sur le fait qu'un subject n'a pas besoin de s'authentifier vers un service provider distant, il peut s'identifier sur son identity provider local.

Si le service provider trust A (par une authentification dure), il peut accorder à tous les membres du domaine A, le même niveau d'accès (et donc le même potentiel de risque). Il peut restreindre l'accès à certains membres, mais ne risquera jamais de dépasser le seuil de risque accordé au domaine A.

Si le risque est trop élevé, rien n'empêche d'utiliser un identity provider sur le domaine du service provider, ceci afin d'identifier à un niveau de trust plus élevé les personnes du domaine A qui veulent réaliser des tâches d'administration.