似乎 Microsoft ADFSv2 支持 WS-Trust 和 SAML Passive，但其构建的 WIF 堆栈不支持 SAML。

WS-Trust 和 SAML-P 有什么区别？它们是否共享相同的安全漏洞，如果是，它们是什么？

注意:这里有一个类似但不同的问题:

SAML vs OAuth

我假设您指的是 [新发布的] ADFS v2？

是的，ADFS v2 支持 WS-Trust(和 WS-Federation)和 SAML2 被动，WIF 只支持 WS-Trust(和 WS-Federation)而不支持 SAML2(既不被动也不主动)。

WS-Federation 使用 WS-Trust 来执行 [基于浏览器的] 被动联合，并且在许多方面类似于 SAML2 被动 - 但在许多方面不是。 WS-Federation 和 SAML2 被动之间的显着区别在于 WS-Federation v1.1(ADFS v2 支持的新版本)支持自动元数据发现。您只需要在 WS-Federation 中提供一个元数据端点(一个 URL)，而在 SAML 中，您必须通过某种选择的方法(USB 棒、邮件等)交换元数据文档。

我不知道这两种协议(protocol)中是否存在任何实际的安全漏洞，但是元数据交换的方法可以永远争论不休。 WS-Federation 方法使许多事情变得更容易，例如证书滚动、自动更新、“免费”自动提供联邦中的新成员等。 然而，SAML2 中的“手动”交换过程至少可以理论上会更安全。

至于为什么 WIF 中不包含 SAML 支持，我只能推测。一个不错的猜测可能是有人希望使用 WIF 的网站与 ADFS 联合，而不是直接与其他 [第三方] IdP 联合 :-)