Главное, что WS-Federation делегирует аутентификацию эмитенту токена. Это позволяет вам поместить свой код аутентификации службы каталогов в издатель токена и разработать сервисы, которые «не заботятся» о реализации аутентификации. Вы можете сделать так, чтобы ваши клиенты проходили аутентификацию через несколько конечных точек в эмитенте токенов и в разных реализациях. Так, например, вы можете предоставить конечные точки, которые аутентифицируются через аутентификацию Windows, или имя пользователя / пароль, или другие механизмы, но вашим другим службам, настроенным на доверие к эмитенту токена через федерацию, не нужно заботиться о том, как вы расширяете свои механизмы аутентификации выдачи токена.
Вы даже можете «связать» федерацию так, чтобы эмитент токена был настроен на использование самой федерации на определенных конечных точках, делегируя выдачу токена совершенно другому эмитенту токена. Таким образом, вы могли бы таким образом реализовать аутентификацию с использованием сторонних доверенных издателей токенов, таких как «войти в систему с помощью Facebook», Yahoo и т. Д. Способ, который будет работать, заключается в том, что федерация настроена на ваших сервисах, чтобы доверять вашему издателю токенов, а ваш эмитент токенов настроить федерацию, чтобы доверять токенам Facebook. Это также позволяет использовать архитектуру, в которой у вас есть один эмитент токена в DMZ, другой в вашем домене и сервисы в домене в бэкэнде, и вы можете иметь веб-серверы, способные аутентифицироваться с бэкэнд-сервисами без какой-либо сетевой информации или другой информации, относящейся к безопасности Ваш домен доступен для потенциальных хакеров за пределами DMZ.