<add> de <knownCertificates>
Ajoute un certificat X.509 à la collection de certificats connus.
<configuration>
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior>
<serviceCredentials>
<issuedTokenAuthentication>
<knownCertificates>
<add>
Syntaxe
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName="AddressBook/AuthRoot/CertificateAuthority/Disallowed/My/Root/TrustedPeople/TrustedPublisher"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>
Attributs et éléments
Les sections suivantes décrivent des attributs, des éléments enfants et des éléments parents.
Attributs
Attribut | Description |
---|---|
findValue | Chaîne. La valeur à rechercher. |
storeLocation | Énumération. L'un des deux emplacements du magasin dans lequel effectuer la recherche. |
storeName | Énumération. L'un des magasins de systèmes à rechercher. |
x509FindType | Énumération. L'un des champs de certificat à rechercher. |
findValue, attribute
Valeur | Description |
---|---|
String | La valeur dépend du champ (spécifié par l'attribut X509FindType) qui est recherché. Par exemple, lors de la recherche d'une empreinte numérique, la valeur doit être une chaîne de nombres hexadécimaux. |
x509FindType, attribut
Valeur | Description |
---|---|
Énumération | Les valeurs comprennent : FindByThumbprint, FindBySubjectName, FindBySubjectDistinguishedName, FindByIssuerName, FindByIssuerDistinguishedName, FindBySerialNumber, FindByTimeValid, FindByTimeNotYetValid, FindBySerialNumber, FindByTimeExpired, FindByTemplateName, FindByApplicationPolicy, FindByCertificatePolicy, FindByExtension, FindByKeyUsage, FindBySubjectKeyIdentifier. |
storeLocation, attribut
Valeur | Description |
---|---|
Énumération | CurrentUser ou LocalMachine. |
storeName, attribut
Valeur | Description |
---|---|
Énumération | Les valeurs comprennent : AddressBook, AuthRoot, CertificateAuthority, Disallowed, My, Root, TrustedPeople et TrustedPublisher. |
Éléments enfants
Aucune.
Éléments parents
Élément | Description |
---|---|
<knownCertificates> | Représente une collection des certificats X.509 fournis par un service d’émission de jetons de sécurité (STS) pour valider les jetons de sécurité. |
Notes
Le scénario de jeton émis comporte trois étapes. Dans la première, un client qui essaie d’accéder à un service est appelé service d’émission de jeton sécurisé. Le service d'émission de jeton sécurisé authentifie ensuite le client et émet par la suite un jeton au client, généralement un jeton SAML (Security Assertions Markup Language). Le client retourne ensuite au service avec le jeton. Le service recherche dans le jeton les données lui permettant de l'authentifier, et par conséquent d'authentifier le client. Pour authentifier le jeton, le service doit connaître le certificat utilisé par le service d'émission de jeton sécurisé.
L’élément <issuedTokenAuthentication> est le référentiel pour les certificats de service d’émission de jeton sécurisé de ce type. Pour ajouter des certificats, utilisez les <knownCertificates>. Insérez un élément <add><knownCertificates> pour chaque certificat, comme dans l’exemple suivant.
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
Par défaut, les certificats doivent être obtenus auprès d'un service d'émission de jeton sécurisé. Ces certificats « connus » garantissent que seuls les clients légitimes peuvent accéder à un service.
Pour passer en revue les conditions à respecter pour faire authentifier un client par un service fédéré, et pour en savoir plus sur l’utilisation de cet élément de configuration, consultez Guide pratique pour configurer des informations d’identification sur un service de fédération. Pour plus d’informations sur les scénarios fédérés, consultez Fédération et jetons émis.
Exemple
L'exemple suivant ajoute un certificat au référentiel pour tous les certificats STS.
<serviceBehaviors>
<behavior name="myServiceBehavior">
<serviceCredentials>
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="CertificateAuthority"
x509FindType="FindByIssuerName" />
</knownCertificates>
</issuedTokenAuthentication>
</serviceCredentials>
</behavior>
</serviceBehaviors>
Voir aussi
- SamlSecurityTokenAuthenticator
- AllowedAudienceUris
- AudienceUriMode
- KnownCertificates
- X509CertificateTrustedIssuerElementCollection
- X509CertificateTrustedIssuerElement
- KnownCertificates
- <knownCertificates>
- Utilisation des certificats
- Fédération et jetons émis
- Procédure : configurer des informations d’identification sur un service de fédération
- Sécurisation des services et des clients