0

Why is RP using browser as a mediator, Why can't RP redirect directly to IP before authentication and vice versa after authentication?

I came up with some reasons but couldn't convince myself.. so asking you :)

1) RP and IP cannot keep a line of connection (against: what if RP calls STS web service and gets the data in response)

2) To manage cookies/session(against: but can't RP finally return the cookie? And the browser returns it in each request thus maintaining a session),

3) It is the browsers responsibility to pass the credentials to IP because of data protection policy(good one)

4) IP needs to know who the caller is (against: why?)

4

2 回答 2

2

因为RP不能直接与IdP通信是很典型的场景,例如RP在外部,用户和IdP在内网。

另一个原因是 SSO - 您需要能够在浏览器和 IdP 之间设置 cookie。

于 2013-12-13T15:12:15.693 回答
1

我一直在研究主动和被动联邦。感谢尤金.S。在被动联合中,登录窗口需要由 LDP 提供。因此,从 RP 到 lDp 的 Web 服务调用不会向浏览器(调用者)提供登录窗口。因此,在被动联合中需要浏览器重定向。

被动联合的另一个惊人发现是 RP 从不查看用户凭据。它只对令牌/cookie 感兴趣。如果未找到,则用户转到 LDP 并在那里提供凭据。正如作者在评论中提到的(http://blogs.msdn.com/b/mcsuksoldev/archive/2010/07/07/windows-identity-foundation-101-s-ws-federation-passive-requestor-profile- part-1-of-2.aspx )

在 Active federation 中,浏览器永远不会离开 RP。RP 获取用户凭据并发布到 LDP。要执行此操作,RP 需要有一个 Web 服务客户端。Web 服务在 LDP(STS) 中运行。有一件事仍然困扰着我。如果 RP 可以获取用户凭据,为什么要向 LDP 询问其有效性?为什么RP不能做LDP要做的事情。例如:RP 可以直接询问活动目录,而不是询问 ADFS(旧 Windows 身份验证:P)。但随后“最小特权”使我们认识到 RP 是外部的。因此,我希望出于安全原因使用 lDP,以建立单点联系并将身份验证与所有应用程序 (RP) 分开

所以我们现在有了浏览器重定向和 no-browser-redirect-but-WS-call 的理由!!

现在开始出现另一个问题。为什么有两个联邦:主动和被动。什么时候用什么?我会找出答案,如果不是,我将其作为一个新问题发布。

于 2013-12-15T09:41:07.463 回答