Ваш вопрос может нуждаться в некотором уточнении.
Во-первых, вы, возможно, захотите объяснить, что конкретно вы подразумеваете под приложением A и приложением B, и как ваша STS вписывается в этот сценарий.Приложения обычно не выдают токены, а только STS.В этом смысле ACS не связывает приложения друг с другом, он соединяет приложения проверяющей стороны со сторонними поставщиками удостоверений.
Во-вторых, если вы говорите об аутентификации через Интернет, и у вас есть пользовательский идентификаторSTS провайдера, который выдает токены для ACS, то вы, вероятно, уже используете WS-Federation.Однако, если получение токена не основано на браузере, и вы выполняете внутренние HTTP-вызовы в ACS, WS-Federation не имеет отношения к сценарию.
В-третьих, с точки зрения STSнабор разрешенных аудиторий относится не к эмитентам токенов, а к сущностям, которые будут использовать токены, выпущенные этим STS.То есть это набор предметов, которым STS будет выдавать токены.Это могут быть сами приложения или другие промежуточные STS по всей цепочке федерации.(ACS, например, выступает в качестве такого посредника)
В-четвертых, когда вы проверяете сертификат эмитента на входящем токене, вы должны сделать больше, чем просто сравнить отпечаток.Отпечаток пальца не является частью криптографического доказательства токена.Вы должны проверить цифровую подпись токена, чтобы убедиться, что издатель токена владеет закрытым ключом сертификата.
Я надеюсь, что это все прояснит, но если он не отвечает на ваш вопрос, пожалуйста, дайте мне знать.