Condividi tramite


<emittenteTokenAuthentication> of <serviceCredentials>

Specifica un token personalizzato emesso come credenziale del servizio.

<Configurazione>
  <system.serviceModel>
    <Comportamenti>
      <Servicebehaviors>
        <Comportamento>
          <Servicecredentials>
            <emessoTokenAuthentication>

Sintassi

<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
                           audienceUriMode="Always/BearerKeyOnly/Never"
                           customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
                           certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
                           revocationMode="NoCheck/Online/Offline"
                           samlSerializer="String"
                           trustedStoreLocation="CurrentUser/LocalMachine">
  <allowedAudienceUris>
    <add allowedAudienceUri="String" />
  </allowedAudienceUris>
  <knownCertificates>
    <add findValue="String"
         storeLocation="CurrentUser/LocalMachine"
         storeName=" CurrentUser/LocalMachine"
         x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
  </knownCertificates>
</issuedTokenAuthentication>

Attributi ed elementi

Nelle sezioni seguenti vengono descritti attributi, elementi figlio ed elementi padre.

Attributi

Attributo Descrizione
allowedAudienceUris Ottiene il set di URI di destinazione a cui il token di sicurezza SamlSecurityToken può essere destinato affinché sia considerato valido dall'istanza di un oggetto SamlSecurityTokenAuthenticator. Per altre informazioni sull'uso di questo attributo, vedere AllowedAudienceUris.
allowUntrustedRsaIssuers Valore booleano che specifica se sono consentiti emittenti di certificati RSA non attendibili.

I certificati sono firmati dalle Autorità di certificazione (CA) per verificarne l'autenticità. Un emittente non attendibile è un'autorità di certificazione che non è specificata come attendibile per la firma di certificati.
audienceUriMode Ottiene un valore che specifica se occorre convalidare la condizione SamlSecurityToken del token di sicurezza SamlAudienceRestrictionCondition. Questo valore è di tipo AudienceUriMode. Per altre informazioni sull'uso di questo attributo, vedere AudienceUriMode.
certificateValidationMode Imposta la modalità di convalida dei certificati. Uno dei valori validi di X509CertificateValidationMode. Se impostato su Custom, è necessario fornire anche un customCertificateValidator. Il valore predefinito è ChainTrust.
customCertificateValidatorType Stringa facoltativa. Un tipo e un assembly usati per convalidare un tipo personalizzato. Questo attributo deve essere impostato quando certificateValidationMode è impostato su Custom.
revocationMode Imposta la modalità di revoca che specifica se viene eseguito un controllo di revoca e se viene eseguito in linea o non in linea. L'attributo è di tipo X509RevocationMode.
samlSerializer Attributo stringa facoltativo che specifica il tipo di serializzatore SamlSerializer usato per la credenziale del servizio. Il valore predefinito è una stringa vuota.
trustedStoreLocation Enumerazione facoltativa. Uno di due percorsi dell'archivio di sistema: LocalMachine o CurrentUser.

Elementi figlio

Elemento Descrizione
knownCertificates Specifica una raccolta di elementi X509CertificateTrustedIssuerElement che specificano emittenti attendibili per la credenziale del servizio.

Elementi padre

Elemento Descrizione
<Servicecredentials> Specifica la credenziale da usare nell'autenticazione del servizio e le impostazioni relative alla convalida delle credenziali client.

Commenti

L'emissione di un token di autenticazione prevede tre fasi. Nella prima fase, un client che tenta di accedere a un servizio viene fatto riferimento a un servizio token sicuro. Nella seconda fase, il servizio token di sicurezza autentica il client e quindi rilascia a quest'ultimo un token, in genere un token SAML (Security Assertions Markup Language), che il client restituisce in seguito al servizio. Nella terza fase, il servizio ricerca nel token appena ricevuto i dati da usare per autenticare il token stesso e, pertanto, il client. Affinché il token venga autenticato è necessario che il servizio riconosca il certificato usato dal servizio token di sicurezza.

Questo elemento rappresenta il repository dei certificati usati dal servizio token di sicurezza. Per aggiungere certificati, usare i <notiCertificates>. Inserire un <componente aggiuntivo> per ogni certificato, come illustrato nell'esempio seguente.

<issuedTokenAuthentication>
  <knownCertificates>
    <add findValue="www.contoso.com"
         storeLocation="LocalMachine"
         storeName="My"
         X509FindType="FindBySubjectName" />
  </knownCertificates>
</issuedTokenAuthentication>

Per impostazione predefinita, i certificati devono essere ottenuti da un servizio token di sicurezza. Questi certificati "riconosciuti" garantiscono che solo i client autorizzati siano in grado di accedere a un determinato servizio.

Per altre informazioni sull'uso di questo elemento di configurazione, vedere Procedura: Configurare le credenziali in un servizio federativo.

Vedi anche