我正在使用WIF设置STS,它将支持主动和被动联合。
将有多种服务使用STS作为依赖方。
我想知道场景是如何工作的,并且实现了一个服务(例如RelyingParty1)是另一个服务(例如RelyingParty2)的客户端,其中RelyingParty1的客户端(物理人/用户)通过STS / Idp进行身份验证用户名和登录名,RelyingParty1想要使用RelyingParty2。
RP2是否与STS通信,或者是从RP1传递到RP2的有效令牌?是否需要特定的配置?
如果RP2可以/确实与STS通信以验证令牌/身份验证(SSO不是必需的,因此每次都需要检查)STS如何知道使用RP1的物理用户作为IClaimsIdentity / IClaimsPrincipal而不是RP1正在运行的用户?
答案 0 :(得分:3)
依赖方(RP)是期望来自STS(令牌发行方)的安全令牌的实体。 RP的用户称为“主题”(或用户),它不是RP。
RP知道该令牌有效,因为它由它信任的STS进行数字签名,因此(通常)不需要RP和STS之间的通信。
您可以链接STS:
RP - > STS1 - > STS2 - >用户
在这种情况下,STS1也是“依赖方”,因为它依靠STS2获取有效令牌。在这种情况下,STS1也可称为“联盟提供者”。
我建议您阅读本指南的第一章:http://msdn.microsoft.com/en-us/library/ff423674.aspx
它将为您介绍术语和架构。