Раздел unntrustedWebRequest вашей веб-конфигурации ограничивает только исходящие HTTP-запросы на основе хоста или IP-адреса запроса. Вот почему его установка на провайдера OpenID (не обязательно) не блокирует проверяющие стороны, поскольку поставщики не должны строго отправлять запрос проверяющей стороне. Этот раздел .config в первую очередь защищает вас от злых интернет-серверов, которые намеренно пытаются DoS-атаки на ваш сервер. Например, если вы пишете RP, так как OpenID могут быть введены непосредственно пользователем, они могут ввести хост, который просто принимает HTTP-запросы и позволяет им зависать там, не отвечая и не закрывая соединение. Достаточно тех, и ваш сервер исчерпает ресурсы. Если вы нашли несколько серверов, делающих это для вас, вы можете занести их в черный список здесь.
Если вы действительно хотите контролировать, к каким службам подключаться (проверяющим сторонам или поставщикам), вам не следует использовать вышеуказанный метод. Как вы видели в примере OpenIdWebRingSsoProvider, вы должны фильтровать их самостоятельно, используя IAuthenticationRequest.Realm (если вы являетесь провайдером) или IAuthenticationRequest.Provider.Uri (если вы являетесь проверяющей стороной). Конечно, есть и другие способы фильтрации. Если в вашей организации имеется большое веб-кольцо единого входа, возможно, вы захотите отфильтровать какой-нибудь обнаруживаемый сертификат в удаленной службе, а не жестко кодировать URL-адреса в вашем кольце.