Compartir a través de


<issuedTokenAuthentication> de <serviceCredentials>

Especifica un símbolo (token) personalizado emitido como una credencial de servicio.

<<system.serviceModel>>
  <comportamientos>
    <serviceBehaviors>
      Elemento <behavior> de <serviceBehaviors>
        <serviceCredentials>
          <issuedTokenAuthentication> de <serviceCredentials>

<issuedTokenAuthentication 
   allowUntrustedRsaIssuers="Boolean"
   audienceUriMode="Always/BearerKeyOnly/Never"
      customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
   revocationMode="NoCheck/Online/Offline"
   samlSerializer="String"
    trustedStoreLocation="CurrentUser/LocalMachine">
      <allowedAudienceUris>
      <add allowedAudienceUri="String"/>
      </allowedAudienceUris>
      <knownCertificates> 
         <add findValue="String"
                 storeLocation="CurrentUser/LocalMachine"
                storeName=" CurrentUser/LocalMachine"
                x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
      </knownCertificates>
</issuedTokenAuthentication>

Atributos y elementos

Atributos

Atributo Descripción

allowedAudienceUris

Obtiene el conjunto de los URI de destino para los que el token de seguridad SamlSecurityToken se puede destinar con el fin de que una instancia de SamlSecurityTokenAuthenticator lo considere válido. Para obtener más información sobre cómo usar este atributo, vea AllowedAudienceUris.

allowUntrustedRsaIssuers

Un valor booleano que especifica si se permiten emisores de certificados de RSA que no son de confianza.

Las entidades emisoras de certificados (CA) firman los certificados para comprobar la autenticidad. Un emisor que no es de confianza es una CA de la cual no se especifica que sea de confianza para firmar certificados.

audienceUriMode

Obtiene un valor que especifica si se debería validar SamlAudienceRestrictionCondition del símbolo (token) de seguridad SamlSecurityToken. Este valor es del tipo AudienceUriMode. Para obtener más información sobre cómo usar este atributo, vea AudienceUriMode.

certificateValidationMode

Especifica el modo de validación del certificado. Uno de los valores válidos de X509CertificateValidationMode. Si se establece en Custom, también debe proporcionarse un customCertificateValidator. El valor predeterminado es ChainTrust.

customCertificateValidatorType

Cadena opcional. Un tipo y ensamblado utilizados para validar un tipo personalizado. Se debe establecer este atributo cuando certificateValidationMode está establecido en Custom.

revocationMode

Establece el modo de revocación que especifica si se produce una comprobación de revocación, y si se realiza en línea o sin conexión. Este atributo es del tipo X509RevocationMode.

samlSerializer

Un atributo de cadena opcional que especifica el tipo de SamlSerializer que se usa para la credencial del servicio. El valor predeterminado es una cadena vacía.

trustedStoreLocation

Enumeración opcional. Una de las dos ubicaciones de almacenamiento del sistema: LocalMachine o CurrentUser.

Elementos secundarios

Elemento Descripción

knownCertificates

Especifica una colección de elementos X509CertificateTrustedIssuerElement que indican emisores de confianza para la credencial del servicio.

Elementos primarios

Elemento Descripción

<serviceCredentials>

Especifica la credencial que se va a utilizar para autenticar el servicio y los valores relacionados con la validación de la credencial del cliente.

Comentarios

El escenario del token emitido tiene tres etapas. En la primera etapa, un cliente que intenta obtener acceso a un servicio se remite a un servicio de token seguro. El servicio de token seguro autentica, a continuación, al cliente y como consecuencia el cliente emite un token, normalmente un token del lenguaje de marcado de aserción de seguridad (SAML). El cliente vuelve a continuación al servicio con el token. El servicio examina el token para los datos que permite al servicio autenticar el token y, por consiguiente, al cliente. Para autenticar el token, el servicio debe conocer el certificado que usa el servicio de token seguro.

Este elemento es el repositorio para todos los certificados de servicio de token seguro. Para agregar certificados, utilice <knownCertificates>. Inserte un <add> de <knownCertificates> para cada certificado, tal y como se muestra en el ejemplo siguiente.

<issuedTokenAuthorization>
   <knownCertificates>
      <add findValue="www.contoso.com" 
           storeLocation="LocalMachine" storeName="My" 
           X509FindType="FindBySubjectName" />
    </knownCertificates>
</issuedTokenAuthentication>

De forma predeterminada, los certificados se deben obtener a partir de un servicio de token seguro. Estos certificados "conocidos" garantizan que sólo los clientes legítimos pueden obtener acceso a un servicio.

Para obtener más información sobre cómo utilizar este elemento de configuración, vea How To: Configure Credentials on a Federation Service.

Consulte también

Referencia

SamlSecurityTokenAuthenticator
AllowedAudienceUris
AudienceUriMode
IssuedTokenAuthentication
IssuedTokenServiceElement
IssuedTokenAuthentication
IssuedTokenServiceCredential

Otros recursos

Securing Services and Clients
How To: Configure Credentials on a Federation Service