身份验证器或身份验证机制（authenticator or authentication mechanism）

客户端的属性或属性值无法向IdP认证客户端。例如，提交用户名和员工ID的用户将不会向IdP进行身份验证。
. 以明文形式传输的密码很容易受到攻击，但是它可以对客户端进行身份验证，例如，PAP是一个典型示例。
. 由密码的哈希值加密的时间戳要求客户端和IdP都共享密钥以解密和验证身份。
. 由主体的私钥加密的来自IdP的随机数利用了质询/响应和非对称加密的功能。来自IdP的随机数是一个挑战。如果客户端通过其私钥作为响应来加密随机数，则只有成对的公钥才能对其进行解密。
认证方式
身份验证(authentication)是“验证用户，进程或设备的身份的过程，通常将其作为允许访问信息系统中资源的先决条件”。（FIPS 200）
. 凭据将主体的身份绑定到包含机密的身份验证器。通过证明其拥有和控制验证器、出示凭据，甚至直接提交机密来验证主体。。
. 身份（identity）是“一组属性值（即特徵），通过它可以识别实体，并且在身份管理者的职责范围内，足以将该实体与任何其他实体区分开。” （NIST SP 800-161）

参考
. 身份管理
. 建立身份

资料来源： Wentz Wu QOTD-20210112