标签: x509certificate saml-2.0 adfs ws-federation
我正在开发一个应该通过ADFS对用户进行身份验证的Web应用程序。选择WS-FED Passive作为最简单,最快速的实施方案。
设置顺利,应用程序似乎正常工作:首先将用户重定向到Identity Provider服务,输入用户名/密码,如果成功,则将SAML令牌发回给Web应用程序。
这里我感到困惑:可以通过包含在其中的签名和X509Certificate数据验证SAML令牌。
但是,验证令牌是由 身份提供商服务发布的正确机制是什么,而不是由也提供证书的第三方发布?