> Есть OAuth для "федерации".

OAuth2 - это протокол децентрализированной аутентификации (OpenId Connect) и авторизации. Ни один из потоков (OAuth2 flow) не поддерживает понятие федерации. Федерация возникает когда у тебя есть один домен/реалм с одним сайтом и другой домен/реалм с другим сайтом подружены друг с другом. Можешь думать хоть про вебсайты, так даже проще. За любым OAuth2 Authorization Server прячется некий Identity Provider (IdP) (база пользователей, но чаще LDAP-каталог). Так вот OAuth2 предоставит возможность вынести аутентификацию и авторизацию с веб-сайта, нативного приложения, веб-API на единый сервер с единой точкой входа и дать возможность приложениям обмениваться JWT. И вот прикинь, что у тебя таких топологий OAuth2 не одна, а целых 2. То есть 2 сервера авторизации и 2 IdP с пользователями, которые нельзя слить воедино. Федерируются как раз IdP. Для того чтобы это работало в федеративном смысле тебе нужен SAML2, который подружит IdP. М вот чтобы заработала федеративная точка уже в OAuth2, нужно чтобы в потоке Authorization Code у тебя летел SAML Assertion, на основании которого будут выданы токены OAuth2. Это будет SAML-федерация. И всё это круто и весело, когда у тебя "облачко", то есть у тебя все сервисы аутсорсные. Если же у тебя это "корпоративное", когда есть разделение на внутреннюю сеть и внешнюю и есть split brain DNS, который этим рулит, то тогда к IdP прикручен Kerberos для нужд сетевой аутентификации и авторизации в режиме двунаправенной федерации (но уже Kerberos). И если у тебя свежие версии протоколов, то у тебя утверждения (claims) будут просунуты в том числе и в тикеты кербероса и в токены и в ассершн. Задачу которую решают такие топологии - авторизация пользовательских устройств в корпоративных сервисах. Это когда у тебя одни права в портале, когда ты из офиса, другие из дома, третьи с мобильника и четвертые, если с мобильника, но корпоративного Wi-Fi в котором WPA Enterprise.

> Повторяю ещё раз: керберос не нужен поэтому его не пилят активно.
> И раз вы позволяете себе переходить на личности, то вы с коллегой тоже не похожи на унтер энтерпрайз админов, потому что слишком активно и много постите тут вместо работы.

Ты как баран повторяешь откровенную ложь. Потом приводишь в пример технологию о применении которой только слышал и сам никогда с этим не сталкивался, потом тебя называют дурачком, потом ты обижаешься на переход на личности.

Вот тебе совет: постарайся всегда оставаться в рамках собственной компетенции. Ты споришь сейчас с человеком который деплоил крупное SSO с OAuth2, SAML, Kerberos для целей MDM. И говоришь с опломбом, что керберос не нужен и его заменяет Oauth2 "для федерации". Во-первых не заменяет, во-вторых для сложных равноправных двунаправленных web-федераций до сих пор нужен SAML и в третьих эти протоколы не конкуренты друг другу, они разные задачи решают и деплоятся совместно. И вообще я не работаю на пятидневке, я же не техподдержка какая-нибудь.

> В 2004 или 5 VB закопали чтобы втащить народ на дотнет.

Ты так говоришь дотнет будто в этом есть что-то плохое. Я просто не предполагал, что человек который на полном серьёзе писал на том VB может не знать про COM и DCOM и их поведение в реестре.

> венда мне не друг и что это путь горбатится на МС, не важно буду я админить венду или программировать - профит будет у МС, а проблемы у меня.

Венда тебе не друг, не из-за МС, а из-за того что это неодушевленная операционная система. И разобраться ты не можешь и спросить не у кого потому что при виде людей, которые в ней разбираются ты своим поведением их отталкиваешь. Вот подумай, какой админ, который разбирается в венде хотя бы на моем уровне будет испытывать желание общаться с негативным жалким, поехавшим на великих идеях, невежественным дураком, каким ты себя выставляешь тут в тексте. В реальности я бы не стал тебе всё это говорить, конечно же. Повернулся бы и отошел бы в сторону. Это вообще большая проблема. Молодые линуксоиды и те бсдшники, которые работают с сетью и пфсенсом, которые в группах более трёх человек начинают травить других сотрудников, в первую очередь пользователей, "офисный планктон", как ты выражаешься. А разгадка одна - высокомерная невежественность. Причем если мордочкой натыкать такого в его же гумнецо, оно обижается и жалуется на переход на личности.