Hình 2 .6 Sử dụng Yadis để xác định địa chỉ của Identity Provider
Hình 2.8 Các bước trong quy trình kiểm tra thuộc tính định danh
Quy trình gửi thuộc tính định danh lên Relying Party gồm 3 bước được minh họa trong Hình 2.8.
Bước 3.1: Dựa trên thuộc tính định danh nhận được từ thành phần Identity Provider ở quy trình gởi thuộc tính định danh (xem phần 2.2.1.2) cùng với khóa chia sẻ bí mật được tạo ra ở bước 2.1. Relying Party sẽ kiểm tra xem thuộc tính định danh có hợp lệ hay không.
Bước 3.2: Relying Party trả về kết quả định danh về trình duyệt.
Bước 3.3: Trình duyệt sẽ hiển thị kết quả định danh đến người dùng.
2.2.2 Tích hợp OpenID với CardSpace
Trước khi đi vào chi tiết của giao thức tích hợp OpenID với CardSpace thì cần thực hiện một số yêu cầu sau:
Người dùng phải có mối quan hệ với cả RP và IdP. RP phải tin tưởng vào việc xác thực người dùng của IdP.
Trước khi hoặc trong khi sử dụng giao thức, người dùng phải tạo một thẻ cá nhân CardSpace, thẻ này được xem như một IDCard. IDCard này phải có các trường để chứa thông tin về người dùng. Người dùng cũng phải đăng ký một nhận dạng OpenID (OpenID identifier) của riêng mình. “OpenID identifier” này là một chuỗi ký tự được sử dụng để xác định phiên bản OpenID và địa chỉ URL của IdP.
RP mà cho phép, hỗ trợ CardSpace sẽ không sử dụng một STS. Thay vào đó, RP phải thể hiện chính sách bảo mật bằng cách sử dụng HTML/XHTML và tương tác giữa Selector và RP phải dựa trên HTTP/S thông qua trình duyệt. Bời vì, chương trình tích hợp sử dụng một trình duyệt mở rộng (browser extension) và do đó không có khả năng quản lý những thông tin liên lạc cần thiết với STS.
Từ giao thức OpenID ở mục 2.2.1 thì việc tích hợp giữa OpenID và CardSpace được thể hiện trong Hình 2.9 [13].