【问题标题】:Windows Identity Foundation: Active Federation client (which is previous relying party) accessing relying party with tokenWindows Identity Foundation:活动联合客户端(以前的依赖方)使用令牌访问依赖方
【发布时间】:2012-08-13 11:47:26
【问题描述】:

我正在使用支持主动和被动联合的 WIF 设置 STS。

会有多个服务使用 STS 作为依赖方。

我想知道场景是如何工作和实现的,其中一项服务(例如 RelyingParty1)是另一项服务(例如 RelyingParty2)的客户端,其中 RelyingParty1 的客户端(自然人/用户)通过 STS/Idp 进行身份验证用户名和登录名,RelyingParty1 想使用 RelyingParty2。

RP2 是否与 STS 进行通信,或者是从 RP1 传递到 RP2 的有效令牌?这需要具体配置吗?

如果 RP2 可以/确实与 STS 通信以验证令牌/身份验证(SSO 不是必需的,因此可能需要每次检查)STS 如何知道将 RP1 的物理用户用作 IClaimsIdentity/IClaimsPrincipal 而不是运行 RP1 的用户?

【问题讨论】:

    标签: wif claims-based-identity sts-securitytokenservice


    【解决方案1】:

    依赖方 (RP) 是期望从 STS(令牌发行者)获得安全令牌的实体。 RP 的用户称为“主题”(或用户),它不是 RP。

    RP 知道令牌是有效的,因为它是由它信任的 STS 进行数字签名的,因此(通常)不需要 RP 和 STS 之间的通信。

    您可以链接 STS:

    RP -> STS1 -> STS2 -> 用户

    在这种情况下,STS1 也是一个“依赖方”,因为它依赖于 STS2 来获取有效令牌。在这种情况下,STS1 也可以称为“Federation Provider”。

    我建议阅读本指南的第一章:http://msdn.microsoft.com/en-us/library/ff423674.aspx

    它将向您介绍术语和架构。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2016-08-11
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2015-02-20
      • 2019-06-10
      相关资源
      最近更新 更多