0

アクティブフェデレーションとパッシブフェデレーションをサポートするWIFを使用してSTSをセットアップしています。

STSを依拠当事者として使用する複数のサービスがあります。

シナリオがどのように機能し、あるサービス(RelyingParty1など)が別のサービス(RelyingParty2など)のクライアントであり、RelyingParty1(物理的な人/ユーザー)のクライアントがSTS/Idpユーザー名とログインを介して認証する場合に実装されるか知りたいRelyingParty1はRelyingParty2を使用したいと考えています。

RP2はSTSと通信しますか、それともRP1からRP2に有効なトークンが渡されますか?これに必要な特定の構成はありますか?

RP2がSTSと通信してトークン/認証を検証できる/実行する場合(SSOは必須ではないため、毎回チェックすることが望ましい場合があります)、STSはRP1の物理ユーザーをIClaimsIdentity / IClaimsPrincipalとして使用し、RP1のユーザーではないことをどのように認識しますかとして実行されていますか?

4

1 に答える 1

3

Relying Party (RP) は、STS (トークンの発行者) からのセキュリティ トークンを期待するエンティティです。RP のユーザーは「サブジェクト」(またはユーザー) と呼ばれ、RP ではありません。

RP は、トークンが信頼する STS によってデジタル署名されているため、トークンが有効であることを認識しているため、(通常) RP と STS 間の通信は必要ありません。

STS を連鎖させることができます。

RP -> STS1 -> STS2 -> ユーザー

このシナリオでは、有効なトークンを取得するために STS2 に依存しているため、STS1 は「証明書利用者」でもあります。このシナリオでは、STS1 は「フェデレーション プロバイダー」とも呼ばれます。

このガイドの最初の章を読むことをお勧めします: http://msdn.microsoft.com/en-us/library/ff423674.aspx

用語とアーキテクチャについて紹介します。

于 2012-08-17T02:29:59.780 に答える