Au sein d'une fédération, chaque partenaire a un rôle. Il s'agit du rôle Fournisseur d'identité ou Fournisseur de services.
Le fournisseur d'identité est un partenaire de fédération qui garantit l'identité des utilisateurs. Le fournisseur d'identité authentifie un utilisateur et transmet un jeton d'authentification (c'est-à-dire les informations permettant de vérifier l'authenticité de l'utilisateur) au fournisseur de services.
Le fournisseur d'identité authentifie directement l'utilisateur, par exemple en validant un nom d'utilisateur et un mot de passe, ou authentifie indirectement l'utilisateur, par exemple, en validant une assertion concernant l'identité de l'utilisateur, telle qu'elle est présentée par un fournisseur d'identité distinct.
Le fournisseur d'identité traite la gestion des identités utilisateur afin de libérer le fournisseur de services de cette responsabilité.
Un fournisseur de services est un partenaire de fédération qui fournit des services à l'utilisateur final. En général, les fournisseurs de services n'authentifient pas les utilisateurs, mais demandent à un fournisseur d'identité de prendre les décisions d'authentification. Les fournisseurs de services comptent sur les fournisseurs d'identité pour vérifier l'identité d'un utilisateur, ainsi que, généralement, certains attributs relatifs à l'utilisateur qui sont gérés par le fournisseur d'identité. Les fournisseurs de services peuvent également gérer un compte local au profit de l'utilisateur, en fournissant des attributs uniques du point de vue de leur service.
Les fournisseurs de services peuvent gérer pour l'utilisateur un compte local qui peut être référencé par un identificateur de l'utilisateur.
Certains protocoles de fédération utilisent une terminologie distincte pour faire référence au rôle du fournisseur de services :
La spécification du protocole Information Card emploie le terme de partie de confiance pour désigner le rôle du fournisseur de services. Lorsque vous configurez la fédération Information Card à l'aide de l'assistant Tivoli Federated Identity Manager, vous êtes amené à sélectionner le rôle de Fournisseur de services pour la partie de confiance.
La spécification du protocole OpenID emploie le terme de consommateur pour désigner le rôle du fournisseur de services. Lorsque vous configurez la fédération OpenID à l'aide de l'assistant Tivoli Federated Identity Manager, vous êtes amené à sélectionner le rôle de Fournisseur de services pour le consommateur.
Avant d'installer Tivoli Federated Identity Manager, vous devez savoir si vous serez amené à être le fournisseur d'identité ou le fournisseur de services dans chacune des fédérations configurées. Il vous faudra également définir les options du serveur point de contact correspondant à votre rôle.