什么是联邦认证 (Federation)

联邦认证 (Federated Authentication/Identity Federation) 是一种允许不同企业、域或系统之间共享身份验证和访问控制信息的机制。简单来说，它允许用户使用在一个域（如企业内网）中建立的身份，去安全地访问另一个域（如外部 SaaS 服务）中的资源，而无需重新注册或再次输入密码。

为什么需要联邦认证？

随着企业业务的扩展，员工不仅需要访问公司内部的 ERP 系统，还需要访问外部的云服务（如 GitHub、Salesforce、AWS）。 如果不使用联邦认证：

• 用户需要在每一个外部 SaaS 服务上都注册一个账号。
• 用户必须记住几十套密码，容易导致安全隐患。
• 当员工离职时，IT 管理员必须手动去几十个系统里一一注销账号，费时且极易遗漏。

联邦认证的工作原理

联邦认证基于信任关系 (Trust Relationship)。 两个实体之间必须先建立信任：

1. 身份提供方 (IdP, Identity Provider)：负责管理用户凭证、验证用户身份并签发断言（如 Azure AD、Okta、YeeAuth）。
2. 服务提供方 (SP, Service Provider)：负责提供最终的业务服务和资源，它信任 IdP 签发的身份断言。

标准流程：

1. 用户尝试访问服务提供方 (SP) 的资源。
2. SP 发现用户未登录，将其重定向至双方约定的身份提供方 (IdP)。
3. 用户在 IdP 上进行身份验证（例如输入企业域账号和密码）。
4. IdP 验证成功后，生成一个经过数字签名的身份断言（Assertion / Token），并将其发送回 SP。
5. SP 验证该断言的签名和有效性，验证通过后，允许用户访问资源。

常见的联邦协议

• SAML 2.0：企业级最常见的基于 XML 的联邦协议。
• OIDC (OpenID Connect)：基于 OAuth 2.0 和 JSON 的现代轻量级联邦协议，也是当前 Web 和移动端的主流选择。

在 YeeAuth 中，YeeAuth 既可以作为 IdP 为您的应用程序提供身份断言，也可以作为 SP 去桥接外部的企业身份源（如飞书、钉钉、企业微信），实现极致灵活的身份联邦架构。