我设置了 Azure ACS。我配置了几个 IP;其中之一是自定义 STS。“被动”场景——其中浏览器重定向用于将令牌从 ip 获取到 acs 并再次返回到我的 RP——就像一个魅力。在被动情况下,可以使用 homerealm 将 ACS“引导”到我选择的 IP-STS。
我现在想知道在活动场景中是否可能出现类似的情况。更具体地说:我可以通过向 ACS 提供用户名和密码(以及将处理用户名密码的 IP 的一些 ID)从 ACS 检索令牌吗?
(我想让我的客户了解自定义 STS,所以我不会直接向自定义 STS 索要令牌)
主动身份验证流程并非完全以这种方式工作。凭据不会发送到 ACS,而是通过 WS-Trust 之类的协议直接发送到 IdP。有关这方面的示例,请查看ACS 联合身份验证示例。
ACS 支持的所有协议都不允许以您直接建议的方式通过联合提供者传送凭据(这样做会产生不必要的安全问题,因为这些凭据会暴露给 FP),但事实上这些凭据会到 IdP 而不是 ACS 应该对最终用户不可见。
好的,我找到了。我需要一个双向过程。首先使用用户名和密码在自定义 sts 上请求一个令牌(受众设置为 acs sts 的正确端点)。接下来将此令牌“交换”为 ACS 颁发的令牌,如下所示:https ://stackoverflow.com/questions/13675217/exchange-ip-sts-jwt-token-for-acs-jwt-toke n