Представьте себе следующий сценарий.
Пользователь посещает сайт A (ASP.NET), проходит аутентификацию с использованием ADFS и получает набор утверждений. В какой-то момент им необходимо зарегистрироваться для получения дополнительной услуги, чтобы они были перенаправлены на сайт инициализации B (ASP.NET) (также использующий ADFS - так что SSO), где они регистрировались, вводя свои соответствующие данные и перенаправлялись обратно в A.
Однако часть процесса обеспечения добавила атрибуты в репозиторий (обычно AD), и мы хотели бы, чтобы эти атрибуты составляли часть их набора заявок.
Для этого они должны пройти повторную аутентификацию? Это лучший способ сделать это путем принудительного выхода из системы? Будет ли это сделано сайтом А или сайтом Б?
Если они являются внутренними пользователями, использующими WIA, они будут зарегистрированы «за кулисами», и весь процесс будет прозрачным.
Что если они являются внешними пользователями, использующими FBA? Не придется ли им снова войти в систему? Учитывая, что это не очень удовлетворительное взаимодействие с пользователем, есть ли способ обойти это?
Существуют некоторые ссылки, в которых говорится о записи подписанного токена в виде файла cookie в браузер клиента, а затем о том, что STS позже аутентифицирует маркер SSO из файла cookie. Как бы вы сделали это с ADFS?