Является ли загрузка провайдера OpenID в iframe плохой идеей, если провайдер и RP находятся в одном домене?

Здесь есть много вопросов, на которые кто-то хочет загрузить страницу входа провайдера OpenID в iframe, а не перенаправлять и заставлять провайдера контролировать весь внешний вид страницы входа. По очень веским причинам безопасности (в первую очередь для защиты от фишинга) это большое нет-нет, запрещено, и большинство провайдеров OpenID отказываются загружать в iframe.

Мне представилась ситуация, когда OpenID используется в наборе веб-сайтов и приложений одной организации. Поставщик OpenID имеет белый список RP и будет отвечать только на эти RP. Есть желание широко настроить страницу входа у провайдера исходя из того, какой RP отправил на нее пользователя. (Если есть веские аргументы безопасности против этого, я хотел бы знать и о них.)

Предлагаемое решение — просто разрешить RP отображать страницу входа в iframe, чтобы они могут разместить любой дизайн вокруг окна входа в систему, который они хотят. В этом сценарии только поля «Имя пользователя», «Пароль» и кнопки «Вход», «Забыли пароль», «Зарегистрировать новую учетную запись» будут размещены у провайдера, остальная часть страницы будет на RP и по-прежнему будет иметь адрес RP в строка заголовка.Не оптимально, да, но аргумент в том, что "это другой субдомен, но тот же домен 2-го уровня, так что все еще в порядке".

Я не понимаю, как это могло случиться — наличие очень разных страниц входа в систему для разных приложений по-прежнему делает пользователей более уязвимыми для фишинга и других атак. Я не прав в этом выводе? Каждый вопрос в SO по этому поводу, по-видимому, касается использования внешнего или общедоступного провайдера, и контраргумент, с которым я сталкиваюсь, заключается в том, что эти проблемы не применяются к частному провайдеру, ограниченному сайтами в том же домене.