我正在开发一个Web应用程序,它应该通过ADFS对用户进行身份验证 . 选择WS-FED Passive作为最简单,最快速的实施方案 .
设置顺利进行,应用程序似乎正常工作:首先将用户重定向到Identity Provider服务,输入用户名/密码,如果成功,则将SAML令牌发回给Web应用程序 .
在这里我感到困惑:可以通过包含在其中的签名和X509Certificate数据验证SAML令牌 .
但是,验证令牌是由身份提供商服务发布的适当机制是什么,而不是由第三方提供证书?