客戶端的屬性或屬性值無法向IdP認證客戶端。例如，提交用戶名和員工ID的用戶將不會向IdP進行身份驗證。
. 以明文形式傳輸的密碼很容易受到攻擊，但是它可以對客戶端進行身份驗證，例如，PAP是一個典型示例。
. 由密碼的哈希值加密的時間戳要求客戶端和IdP都共享密鑰以解密和驗證身份。
. 由主體的私鑰加密的來自IdP的隨機數利用了質詢/響應和非對稱加密的功能。來自IdP的隨機數是一個挑戰。如果客戶端通過其私鑰作為響應來加密隨機數，則只有成對的公鑰才能對其進行解密。
認證方式
身份驗證(authentication)是“驗證用戶，進程或設備的身份的過程，通常將其作為允許訪問信息系統中資源的先決條件”。（FIPS 200）
. 憑據將主體的身份綁定到包含機密的身份驗證器。通過證明其擁有和控制驗證器、出示憑據，甚至直接提交機密來驗證主體。。
. 身份（identity）是“一組屬性值（即特徵），通過它可以識別實體，並且在身份管理者的職責範圍內，足以將該實體與任何其他實體區分開。” （NIST SP 800-161）

參考
. 身份管理
. 建立身份

資料來源： Wentz Wu QOTD-20210112