WIF でのアクティブ フェデレーションとパッシブ フェデレーションの違いを理解しようとしています。Relying Party (RP) が ASP.NET アプリケーションではなく WCF サービスの場合はアクティブ フェデレーションを使用し、RP が ASP.NET アプリケーションの場合はパッシブ フェデレーションを使用するようです。これは正確ですか?
したがって、ASP.NET アプリケーションがバックエンドで WCF を使用するシナリオでは、MS の記事では、ActAs STS を使用して ASP.NET アプリによって取得される「ブートストラップ」セキュリティ トークンを使用することが提案されており、このトークンは認証に使用されます。 WCFで。このシナリオでは、アクティブ (ユーザー -> STS -> ASP.NET RP) とパッシブ (ASP.NET -> ActAs STS -> WCF) フェデレーションの組み合わせを行っているように見えますか?
アクティブ フェデレーションとは、WSTrust プロトコルを使用してユーザーを認証することであり、Relying Party はログイン ウィンドウを所有し、STS にセキュリティ トークンを要求するユーザーです。パッシブ フェデレーションは、証明書利用者にログイン ロジックがなく、STS にあるログイン ページにリダイレクトされる場合です。私の意見では、アクティブ フェデレーションは構成がより複雑です (私は Silverlight を使用しているため、いくつかのトリックが必要です)。このテーマについては、インターネット上で情報がほとんどないため、ブログに投稿する予定です。
つまり、パッシブ フェデレーションは、STS がホストするログイン ページにブラウザーがリダイレクトされるシナリオを表すために使用される単なるフレーズです。ログイン後、STS は Cookie などを使用して参照 URL にリダイレクトし、STS を信頼するサイトで (拇印、証明書、暗号化などを使用して) 認証されます。
そのようにする必要もありません。たとえば、ASP.NET サイトがユーザーから提供された資格情報を使用して STS に積極的に接続するのが好きですが、ユーザーから提供された資格情報をトークンを取得し、そのトークンを明示的にセッションに追加します。つまり、私はパッシブ フェデレーションを使用していませんが、それは単なる選択です。