Vorgehensweise: Erstellen unterstützender Anmeldeinformationen
Sie können über ein benutzerdefiniertes Sicherheitsschema verfügen, für das mehrere Anmeldeinformationen erforderlich sind. Beispielsweise kann ein Dienst vom Client nicht nur den Benutzernamen und das Kennwort fordern, sondern auch Anmeldeinformationen, die belegen, dass der Client älter als 18 Jahre ist. Diese Anmeldeinformationen sind unterstützende Anmeldeinformationen. In diesem Thema wird beschrieben, wie Sie solche Anmeldeinformationen in einem Windows Communication Foundation (WCF)-Client implementieren.
Hinweis: |
---|
Die Spezifikation für unterstützende Anmeldeinformationen ist Teil der WS-SecurityPolicy-Spezifikation. Weitere Informationen finden Sie unter Web Services Security Specifications. |
Unterstützende Token
Beim Verwenden der Nachrichtensicherheit wird die Nachricht immer mit primären Anmeldeinformationen gesichert (z. B. mit einem X.509-Zertifikat oder einem Kerberos-Ticket).
Wie durch die Spezifikation festgelegt, verwendet eine Bindung zur Sicherung des Nachrichtenaustauschs Token. Ein Token ist eine Darstellung von Sicherheitsanmeldeinformationen.
Die Sicherheitsbindung verwendet zum Erstellen einer Signatur ein in ihrer Richtlinie identifiziertes primäres Token. Diese Signatur wird als Nachrichtensignatur bezeichnet.
Es können zusätzliche Token angegeben werden, um die von dem der Nachrichtensignatur zugeordneten Token bereitgestellten Ansprüche zu erweitern.
Unterzeichnen, Signieren und Verschlüsseln
Als Ergebnis unterstützender Anmeldeinformationen wird ein unterstützendes Token innerhalb der Nachricht übertragen. Die WS-SecurityPolicy-Spezifikation definiert vier Methoden zum Anhängen eines unterstützenden Tokens an die Nachricht, wie in der folgenden Tabelle beschrieben.
Zweck | Beschreibung |
---|---|
Signiert |
Das unterstützende Token ist im Sicherheitsheader enthalten und wird durch die Nachrichtensignatur signiert. |
Unterzeichnend |
Ein unterzeichnendes Token signiert die Nachrichtensignatur. |
Signiert und unterzeichnend |
Signierte, unterzeichnende Token signieren das gesamte aus der Nachrichtensignatur erstellte ds:Signature-Element und werden selbst durch die Nachrichtensignatur signiert; d. h., beide Token (das für die Nachrichtensignatur verwendete Token und das signierte unterzeichnende Token) signieren einander. |
Signiert und verschlüsselnd |
Signierte, verschlüsselte unterstützende Token sind signierte unterstützende Token, die beim Anzeigen im wsse:SecurityHeader auch verschlüsselt werden. |
Programmieren von unterstützenden Anmeldeinformationen
Zum Erstellen eines Dienstes, der unterstützende Token verwendet, müssen Sie ein customBinding Element erstellen. (Weitere Informationen finden Sie unter Vorgehensweise: Erstellen einer benutzerdefinierten Bindung mit dem SecurityBindingElement.)
Der erste Schritt beim Erstellen einer benutzerdefinierten Bindung ist das Erstellen eines Sicherheitsbindungselements, das einer der folgenden drei Typen sein kann:
Alle Klassen erben vom SecurityBindingElement, das vier relevante Eigenschaften umfasst:
Bereiche
Für unterstützende Anmeldeinformationen existieren vier Bereiche:
Den Endpunkt unterstützende Token unterstützen alle Vorgänge eines Endpunkts. Die Anmeldeinformationen, die das unterstützende Token darstellt, können beim Aufrufen eines beliebigen Endpunktvorgangs verwendet werden.
Den Vorgang unterstützende Token unterstützen nur einen bestimmten Endpunktvorgang.
Wie durch die Eigenschaftennamen angegeben, können unterstützende Anmeldeinformationen erforderlich oder optional sein. Die unterstützenden Anmeldeinformationen werden verwendet, wenn sie vorhanden, aber nicht erforderlich sind; die Authentifizierung schlägt jedoch nicht fehl, wenn sie nicht vorhanden sind.
Prozeduren
So erstellen Sie eine benutzerdefinierte Bindung, die unterstützende Anmeldeinformationen enthält
Erstellen Sie ein Sicherheitsbindungselement. Im nachfolgenden Beispiel wird ein SymmetricSecurityBindingElement mit dem UserNameForCertificate-Authentifizierungsmodus erstellt. Verwenden Sie die CreateUserNameForCertificateBindingElement-Methode.
Fügen Sie den unterstützenden Parameter der von der entsprechenden Eigenschaft (Endorsing, Signed, SignedEncrypted oder SignedEndorsed) zurückgegebenen Auflistung von Typen hinzu. Die Typen im System.ServiceModel.Security.Tokens-Namespace umfassen häufig verwendete Typen wie die X509SecurityTokenParameters.
Beispiel
Beschreibung
Im folgenden Beispiel wird eine Instanz des SymmetricSecurityBindingElement erstellt und eine Instanz der KerberosSecurityTokenParameters-Klasse der von der unterzeichenden Eigenschaft zurückgegebenen Auflistung hinzugefügt.
Code
public static Binding CreateMultiFactorAuthenticationBinding()
{
HttpTransportBindingElement httpTransport = new HttpTransportBindingElement();
// The message security binding element will be configured to require 2 tokens:
// 1) A user name/password encrypted with the service token.
// 2) A client certificate used to sign the message.
// Instantiate a binding element that will require the user name/password token
// in the message (encrypted with the server certificate).
SymmetricSecurityBindingElement messageSecurity = SecurityBindingElement.CreateUserNameForCertificateBindingElement();
// Create supporting token parameters for the client X.509 certificate.
X509SecurityTokenParameters clientX509SupportingTokenParameters = new X509SecurityTokenParameters();
// Specify that the supporting token is passed in the message send by the client to the service.
clientX509SupportingTokenParameters.InclusionMode = SecurityTokenInclusionMode.AlwaysToRecipient;
// Turn off derived keys.
clientX509SupportingTokenParameters.RequireDerivedKeys = false;
// Augment the binding element to require the client's X.509 certificate as an
// endorsing token in the message.
messageSecurity.EndpointSupportingTokenParameters.Endorsing.Add(clientX509SupportingTokenParameters);
// Create a CustomBinding based on the constructed security binding element.
return new CustomBinding(messageSecurity, httpTransport);
}
Siehe auch
Konzepte
Vorgehensweise: Erstellen einer benutzerdefinierten Bindung mit dem SecurityBindingElement