0

我正在使用 WIF 设置 STS,它将支持主动和被动联合。

将有多种服务使用 STS 作为依赖方。

我想知道场景是如何工作的,并且在一个服务(例如 RelyingParty1)是另一个服务的客户端(例如 RelyingParty2)的情况下实现,其中 RelyingParty1 的客户端(自然人/用户)通过 STS/Idp 用户名和登录名进行身份验证而 RelyingParty1 想要使用 RelyingParty2。

RP2 是否完全与 STS 通信,或者是从 RP1 传递到 RP2 的有效令牌?这需要特定的配置吗?

如果 RP2 可以/确实与 STS 通信以验证令牌/身份验证(SSO 不是必需的,因此可能需要每次检查)STS 如何知道将 RP1 的物理用户用作 IClaimsIdentity/IClaimsPrincipal 而不是 RP1 的用户正在运行吗?

4

1 回答 1

3

依赖方 (RP) 是期望来自 STS(令牌发行者)的安全令牌的实体。RP 的用户称为“主题”(或用户),它不是 RP。

RP 知道令牌是有效的,因为它是由它信任的 STS 进行数字签名的,因此(通常)不需要 RP 和 STS 之间的通信。

您可以链接 STS:

RP -> STS1 -> STS2 -> 用户

在这种情况下,STS1 也是一个“依赖方”,因为它依赖于 STS2 来获取有效令牌。在这种情况下,STS1 也可以称为“Federation Provider”。

我建议阅读本指南的第一章:http: //msdn.microsoft.com/en-us/library/ff423674.aspx

它将向您介绍术语和体系结构。

于 2012-08-17T02:29:59.780 回答