禁用 Windows Identity Foundation 中的任何加密

Question

我只对企业网络服务联盟感兴趣。 那么，如何在活动场景中禁用任何加密和签名？

Answer 1

加密不是问题。只需不要在 STS 端启用加密即可。

对于签名，有两个方面：

• STS 方面。如果您的 STS 是AD FS 2.0，那么它将始终签署它发出的任何令牌。 （或者至少，我的实验没有揭示任何删除所有令牌签名证书的方法。）

  您也许能够创建自定义STS（例如，基于WIF）来生成未签名的令牌。

• RP 端。鉴于该问题被标记为“WIF”，您的 Web 服务显然是使用 WIF 实现的。

  收到签名令牌时，基于 WIF 的 Web 服务需要信任此 AD FS 实例。 （或者至少，我还没有找到一种方法让 WIF 只信任任何令牌，而不检查令牌签名。）

Answer 2

为什么要禁用签名？ （甚至不确定是否可能）。它会破坏使用基于声明的身份的整个目的。正如 marnix 所建议的，令牌加密是可选的。