如何在SAML2或WS-Federation中申请索赔？

Question

我有一个ASP.NET MVC应用程序(带有OWIN)，它当前被配置为使用使用OpenID连接协议的IdP。在OpenId连接中，我可以使用范围值作为singin请求的一部分来请求声明。例如。

       app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions
        {
            Authority = "https://localhost:44300/identity",
            Scope = "openid profile email",
            ClientId = "XXXXXXXXXXXXXXXXXXXXXX",
            RedirectUri = "http://localhost:36102/",
            ResponseType = "id_token",
            SignInAsAuthenticationType = "Cookies",
       }

作为回报，IdP将这些声明包含到令牌中，并且应用程序(SP)可以访问它们。

现在，我想在我的应用程序中再配置两个IdP，一个使用SAML2，另一个使用WS-Federation。对于联合身份验证，我使用SustainSys库，而对于WS- SAML2，我使用Microsoft.Owin.Security.WsFederation库。

我认为scopes只对OpenID连接协议有效，对于其他两个协议，我如何申请我的应用程序所需的这些声明？

Answer 1

正确，作用域仅对OpenID连接有效。

其他两个协议没有此功能。

例如，使用ADFS作为IDP，您可以在ADFS中配置声明。

由于SAML应用程序和WS-Fed应用程序都配置为不同的RP，因此它们可以有不同的声明集。