AzureACSをセットアップしました。いくつかのIPを構成しています。その1つがカスタムSTSです。「パッシブ」シナリオ(ブラウザのリダイレクトを使用してIPからacsにトークンを取得し、再びRPに戻す)は、魅力のように機能します。パッシブシナリオでは、ホームレルムを使用して、ACSを選択したIP-STSに「誘導」することができます。
アクティブなシナリオで同様のことが可能かどうか疑問に思っています。具体的には、ACSにユーザー名とパスワード(およびユーザー名のパスワードを処理するIPのID)を提供して、ACSからトークンを取得できますか。
(カスタムSTSに関する知識をクライアントに伝えたくないので、カスタムSTSにトークンを直接要求することはありません)
アクティブな認証フローは、そのようには正確には機能しません。クレデンシャルはACSに送信されませんが、WS-Trustなどのプロトコルを介して直接IdPに送信されます。この例については、ACSフェデレーション認証のサンプルをご覧ください。
ACSがサポートするプロトコルはいずれも、直接提案した方法でフェデレーションプロバイダーを介してクレデンシャルを転送することを許可していません(そうすると、これらのクレデンシャルがFPに公開されるため、不要なセキュリティ問題が発生します)。 ACSではなくIdPに対して、エンドユーザーには見えないようにする必要があります。
わかりました、見つけました。双方向のプロセスが必要です。最初に、ユーザー名とパスワードを使用してカスタムstsでトークンをリクエストします(オーディエンスはacs stsの正しいエンドポイントに設定されています)。次に、このトークンを次のようにACSによって発行されたトークンと「交換」します:https ://stackoverflow.com/questions/13675217/exchange-ip-sts-jwt-token-for-acs-jwt-toke n