Für dieses Beispiel nehmen wir mal an, der Benutzer hat einen Kontonamen eingegeben, für den eine Active Directory Konfiguration hinterlegt ist.

1. Der Authentication Provider validiert Benutzernamen und Kennwort gegenüber dem Active Directory mittels LDAP und stellt fest, dass eine Anmeldung möglich ist. Die Angaben vom Benutzer waren also korrekt.
2. Der Authentication Prolvider erstellt ein sogenanntes Javascript Web Token mit dem vom Benutzer angegebenen Kontonamen, signiert es mit einem privaten Schlüssel und übermittelt dann dieses JWT an die Webanwendung.
3. Die Webanwendung, in der der Schlüssel des Authentication Providers hinterlegt ist, verifiziert die Signatur und den Gültigkeitszeitraum des JWT.
4. Wenn die Signatur korrekt und das JWT nicht abgelaufen ist, kann die Webanwendung davon ausgehen, dass die vom Anwender gemachten Angaben zur Identität authentisch sind. Das Verfahren hat darüber hinaus den Vorteil, dass in der Datenbank der Webanwendung keine Anmeldeinformationen vorgehalten werden müssen.

Screenshots