En una Federación, interactúan dos elementos principales:

Proveedor de Identidad (IdP)
Es el elemento que realiza la autenticación del usuario “verifica que el usuario sea quien dice ser” y se integra con el sistema de gestión de usuarios institucional.
El IdP interactúa con Directorios o Bases de Usuarios (LDAP, MySql, PostgreSQL, etc) que son los que mantienen las credenciales de autenticación y los atributos de los usuarios.
Una vez que el usuario es autenticado, provee los atributos de este al servicio.

Proveedor de Servicio
Representa un servicio que puede ser utilizado por los miembros de una Federación, una vez que recibe los datos de autenticación del usuario por parte del IdP, autoriza el uso del servicio.
Dependiendo de los atributos que reciba de parte del IdP, puede autorizar la utilización de todo el servicio o sólo de alguna parte del mismo.
Su enfoque está en la implementación del servicio y no en la gestión de usuarios.
 

DS (Discovery Service) ó WAYF (Where Are You From)
En una Federación puede existir un actor adicional llamado WAYF o DS, el cual se encarga de “descubrir” la institución de la cual proviene el usuario, una vez que se sabe su origen, este es direccionado al IdP de su institución para hacer el proceso de autenticación.

Interacción entre elementos de una Federación

Fuente: RNP

El usuario accede al proveedor de servicio (SP).
El servicio presenta opciones del DS/WAYF centralizado.
El usuario selecciona su institución de origen.
El usuario es redirigido hacia su (IdP).
El IdP autentica al usuario con el método elegido por la institución.
El SP recibe la garantía de autenticación del usuario de parte del IdP.
El SP pide atributos adicionales de ese usuario al IdP; para garantizar la privacidad del usuario, sólo se entregan atributos previamente acordados entre el IdP y el SP.
El proveedor de servicio decide sobre las autorizaciones y proporciona el servicio al usuario.