RP がブラウザーをメディエーターとして使用するのはなぜですか? 認証前に RP が直接 IP にリダイレクトできず、認証後にその逆ができないのはなぜですか?
私はいくつかの理由を思いつきましたが、自分自身を納得させることができませんでした..だからあなたに尋ねます:)
1) RP と IP は接続回線を維持できません (反対: RP が STS Web サービスを呼び出し、応答でデータを取得した場合)
2) Cookie/セッションを管理するには (に対して: しかし、RP は最終的に Cookie を返すことはできませんか? そして、ブラウザは各リクエストでそれを返し、セッションを維持します),
3) データ保護ポリシー (良いポリシー) のため、資格情報を IP に渡すのはブラウザーの責任です。
4) IP は発信者が誰であるかを知る必要があります (反対: なぜ?)
私はアクティブ連邦とパッシブ連邦を調査してきました。Eugene.S に感謝します。パッシブ フェデレーションでは、ログイン ウィンドウは lDP によって提供される必要があります。そのため、RP から lDp への Web サービス呼び出しは、ログイン ウィンドウをブラウザー (呼び出し元) に提供しません。したがって、パッシブ フェデレーションではブラウザ リダイレクトが必要です。
パッシブ フェデレーションのもう 1 つの驚くべき発見は、RP がユーザーの資格情報を調べないことです。トークン/クッキーのみに関心があります。見つからない場合、ユーザーは lDP に移動し、そこで資格情報を提供します。著者がコメントで述べたように ( http://blogs.msdn.com/b/mcsuksoldev/archive/2010/07/07/windows-identity-foundation-101-s-ws-federation-passive-requestor-profile- part-1-of-2.aspx )
アクティブなフェデレーション ブラウザでは、RP を離れることはありません。RP はユーザーの資格情報を取得し、lDP に投稿します。このアクションを実行するには、RP に Web サービス クライアントが必要です。Web サービスは lDP(STS) で実行されます。まだ私を悩ませていることが1つあります。RP がユーザーの資格情報を取得できる場合、なぜ lDP に有効性を確認する必要があるのでしょうか? lDPがやろうとしていることをRPができないのはなぜですか。例: RP は、ADFS に要求する代わりに、Active Directory に直接要求することができます (古い Windows 認証:P)。しかし、「最小権限」は RP が外部であることを教えてくれました。したがって、セキュリティ上の理由から lDP を使用して、連絡先を 1 つにし、すべてのアプリケーション (RP) から認証を分離することを願っています。
これで、ブラウザのリダイレクトと no-browser-redirect-but-WS-call の正当な理由がわかりました!!
今、別の疑問が生じ始めています。アクティブとパッシブの 2 つのフェデレーションがあるのはなぜですか。いつ何を使う?そうでない場合は、新しい質問として投稿します。