<serviceCredentials> の <issuedTokenAuthentication>
サービス資格情報として発行されるカスタム トークンを指定します。
configuration
system.serviceModel
behaviors
<serviceBehaviors>
behavior
<serviceCredentials>
<issuedTokenAuthentication>
構文
<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
audienceUriMode="Always/BearerKeyOnly/Never"
customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
samlSerializer="String"
trustedStoreLocation="CurrentUser/LocalMachine">
<allowedAudienceUris>
<add allowedAudienceUri="String" />
</allowedAudienceUris>
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
</knownCertificates>
</issuedTokenAuthentication>
属性および要素
以降のセクションでは、属性、子要素、および親要素について説明します。
属性
| 属性 | 説明 |
|---|---|
allowedAudienceUris |
SamlSecurityToken インスタンスにより有効と見なされるように、SamlSecurityTokenAuthenticator セキュリティ トークンのターゲットとなる URI のセットを取得します。 この属性の使い方の詳細については、「AllowedAudienceUris」を参照してください。 |
allowUntrustedRsaIssuers |
信頼できない RSA 証明書の発行者を許可するかどうかを指定するブール値。 証明書は、信頼性を検証する証明機関 (CA) によって署名されます。 信頼できない発行者とは、証明書の署名が信頼できると指定されていない CA です。 |
audienceUriMode |
SamlSecurityToken セキュリティ トークンの SamlAudienceRestrictionCondition を検証するかどうかを指定する値を取得します。 この値は、AudienceUriMode 型です。 この属性の使い方の詳細については、「AudienceUriMode」を参照してください。 |
certificateValidationMode |
証明書検証モードを設定します。 X509CertificateValidationMode の有効な値のいずれかです。 Custom に設定されている場合、customCertificateValidator も指定する必要があります。 既定値は、ChainTrust です。 |
customCertificateValidatorType |
省略可能な文字列。 カスタム型の検証に使用される型およびアセンブリです。 certificateValidationMode が Custom に設定されている場合は、この属性を設定する必要があります。 |
revocationMode |
失効状態の検証を行うかどうかに加え、検証をオンラインで実行するか、オフラインで実行するかを指定する失効モードを設定します。 この属性は X509RevocationMode 型です。 |
samlSerializer |
サービス資格情報に使用される SamlSerializer の型を指定する省略可能な文字列属性。 既定値は空の文字列です。 |
trustedStoreLocation |
省略可能な列挙体です。 2 つのシステム格納場所 (LocalMachine または CurrentUser) のいずれかです。 |
子要素
| 要素 | 説明 |
|---|---|
knownCertificates |
サービス資格情報の信頼できる発行者を指定する X509CertificateTrustedIssuerElement 要素のコレクションを指定します。 |
親要素
| 要素 | 説明 |
|---|---|
| <serviceCredentials> | サービスの認証に使用される資格情報と、クライアントの資格情報検証関連の設定を指定します。 |
解説
発行されるトークンのシナリオには、3 つの段階があります。 まず、サービスにアクセスしようとしているクライアントがセキュリティ トークン サービスに参照されます。 次に、セキュリティ トークン サービスがクライアントを認証し、その後、クライアントにトークン (通常は、SAML (Security Assertions Markup Language) トークン) を発行します。 最後に、クライアントがトークンを持ってサービスに戻ります。 サービスはトークンを調べ、トークンを認証することでクライアントの認証を可能にするデータを確認します。 トークンを認証するには、セキュリティ トークン サービスで使用される証明書がサービスによって認識されている必要があります。
この要素は、このようなセキュリティ トークン サービス証明書のリポジトリです。 証明書を追加するには、<knownCertificates> を使用します。 次の例に示すように、証明書ごとに <add> を挿入します。
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
既定では、証明書はセキュリティ トークン サービスから取得する必要があります。 このような "既知" の証明書により、正当なクライアントのみがサービスにアクセスできるようになります。
この構成要素の使用の詳細については、「方法 : フェデレーション サービスで資格情報を設定する」を参照してください。
関連項目
.NET