Главное, чтобы WS-Federation делегировала аутентификацию маркерному эмитенту. Это позволяет поместить код проверки подлинности служб каталогов в маркерный маркер и проектировать службы, которые «не заботятся» о реализации аутентификации. Вы можете аутентифицировать своих клиентов через несколько конечных точек у маркера с различными реализациями. Например, вы можете выявлять конечные точки, которые аутентифицируются через Windows auth, или username/pass, или другие механизмы, но ваши другие службы, настроенные на доверие маркетологу через федерацию, не должны заботиться о том, как вы расширяете механизмы аутентификации маркера.
Вы можете даже «объединить» федерацию так, чтобы маркер-эмитент настроен на использование самой федерации на определенных конечных точках, делегируя выдачу маркера совершенно другому маркеру-эмитенту. Таким образом, вы можете реализовать аутентификацию с использованием сторонних доверенных маркеров, таких как «вход в систему с использованием facebook», yahoo и т. Д. То, как это работает, заключается в том, что федерация настроена на ваши службы, чтобы доверять вашему маркерному эмитенту, а ваш маркер-эмитент настроить с помощью федерации, чтобы доверять токенам Facebook. Это также позволяет создавать архитектуры, в которых у вас есть один маркер-эмитент в DMZ, другой в вашем домене и службы в домене в бэкэнд, и вы можете иметь веб-серверы, способные выполнять аутентификацию с помощью бэкэнд-услуг без какой-либо сетевой информации или другой информации, связанной с безопасностью ваш домен доступен потенциальным хакерам за пределами DMZ.
Благодарим вас за ответ Pablo. Мой вопрос не был ясен, извините. Я имею в виду, как можно сравнить аутентификацию с помощью WS-Federation и аутентификацию с помощью WS-Security, где в фоновом режиме мой код WS-Security будет использовать DirectoryServices. – user1121956