Single sign on 链式ADFS STS是否对涉及的每个域进行身份验证？_Single Sign On_Adfs_Adfs2.0

Single sign on 链式ADFS STS是否对涉及的每个域进行身份验证？

single-sign-on

Single sign on 链式ADFS STS是否对涉及的每个域进行身份验证？,single-sign-on,adfs,adfs2.0,Single Sign On,Adfs,Adfs2.0,我最近读了一篇关于将多个ADF ST链接在一起的博客文章：如果链接失效，作者描述了将多个ADFS实例链接在一起以提供如下设置：支持索赔的应用程序依赖合作伙伴STS-fs1.external.com 回复合作伙伴STS-fs2.contoso.com IdP STS-fs1.contoso.com 当用户登录到支持索赔的应用程序时，他们将点击每个STS，最终点击IdP，在那里他们将获得身份验证。此时，身份验证将通过不同的STS传递回用户在这种情况下，每个STS的域是否经过身份验证？也就

我最近读了一篇关于将多个ADF ST链接在一起的博客文章：

如果链接失效，作者描述了将多个ADFS实例链接在一起以提供如下设置：

支持索赔的应用程序
依赖合作伙伴STS-fs1.external.com
回复合作伙伴STS-fs2.contoso.com
IdP STS-fs1.contoso.com

当用户登录到支持索赔的应用程序时，他们将点击每个STS，最终点击IdP，在那里他们将获得身份验证。此时，身份验证将通过不同的STS传递回用户

在这种情况下，每个STS的域是否经过身份验证？也就是说，是为fs1.external.com、fs2.external.com、fs1.contoso.com发布cookie，还是仅为IdP域（fs1.contoso.com）发布cookie？

仅为IdP域发布cookie

但是，请注意，在下游路径上：

每个ADF都可以使用声明来扩充令牌
代币是重新铸造的并使用该实例的签名密钥进行签名