MVC.net中的WIF -从第二个IP向SAML令牌添加附加声明

Question

我有一个使用MVC.net身份提供者(IP-1)进行身份验证的MVC.net应用程序。用户登录后，我需要从另一个应用程序(IP-2)获得一些额外的声明。为此，我将令牌传递回IP-2，IP-2能够读取令牌并在生成新令牌之前添加其他声明。

当我尝试将新令牌传递给RP时，问题出现了，因为客户端已经通过RP的身份验证，因此新令牌及其声明被忽略。

我想我想要做的事情已经在下面解释过了，但我也意识到我对WIF的了解有点不可靠，所以我对事情应该如何工作的假设可能存在一些缺陷。

我的问题是，如何让RP使用新令牌重新进行身份验证？此外，有没有更好的方法来添加声明，而不必在IP-2应用程序中重新创建令牌？

​

​

Answer 1

要接受新的SAML令牌，您需要清除会话Cookie，然后发送新的登录请求。但是......

从IP-1向另一个(IP-2)发送SAML令牌从根本上违背了SAML和WS-Fed设计。SAML令牌用于RP。它不应该发送给其他任何人！！如果为RP加密了SAML令牌，则IP-2甚至无法读取它。并且(当然)没有将第一令牌信息添加到第二认证请求的标准方法。

级联(一个先添加声明，然后另一个添加声明)是标准解决方案。在您的例子中，这听起来像是通过IP-2重定向到IP-1。IP-1设置其正常声明。IP-2添加其声明，然后最终返回RP。