我已设置Azure ACS。我配置了几个IP;其中一个是自定义STS。 “被动”场景 - 浏览器重定向用于将令牌从ip转换为ac并再次返回到我的RP - 就像一个魅力。
在被动场景中,可以使用homerealm将ACS“引导”到我选择的IP-STS。
我现在想知道在活动场景中是否有类似的东西是可能的。更具体地说:我可以通过向ACS提供用户名和密码(以及将处理用户名密码的IP的一些ID)来从ACS检索令牌。
(我希望从我的客户那里了解自定义STS,所以我不是要求自定义STS获取令牌直接)
答案 0 :(得分:0)
主动身份验证流程无法正常工作。凭证不会通过WS-Trust等协议直接转到ACS,而是转发给IdP。有关此示例,请查看ACS Federated Authentication sample。
ACS支持的任何协议都不允许以您建议的方式通过联合提供程序传送凭据(这样做会产生不必要的安全问题,因为这些凭据将暴露给FP),但事实是这些信用证转到IdP而不是ACS应该对最终用户不可见。
答案 1 :(得分:0)
好的,我找到了。我需要一个双向的过程。首先使用用户名和密码在自定义sts上请求令牌(将受众设置为acs sts的正确端点)。接下来"交换" ACS发出的令牌的此令牌,如:https://stackoverflow.com/questions/13675217/exchange-ip-sts-jwt-token-for-acs-jwt-toke n