<knownCertificates> の <add>
既知の証明書のコレクションに X.509 証明書を追加します。
スキーマの階層
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<serviceBehaviors> の <behavior>
<serviceCredentials>
<serviceCredentials> の <issuedTokenAuthentication>
<knownCertificates>
<knownCertificates> の <add>
構文
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName="AddressBook/AuthRoot/CertificateAuthority/Disallowed/My/Root/TrustedPeople/TrustedPublisher"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>
属性と要素
以降のセクションでは、属性、子要素、および親要素について説明します。
属性
| 属性 | 説明 |
|---|---|
findValue |
文字列です。検索対象の値。 |
storeLocation |
列挙値です。検索する 2 つの格納場所のいずれかです。 |
storeName |
列挙値です。検索するシステム ストアのいずれかです。 |
x509FindType |
列挙値です。検索する証明書フィールドのいずれかです。 |
子要素
なし。
親要素
| 要素 | 説明 |
|---|---|
セキュリティ トークンを検証するためのセキュリティ トークン サービス (STS) によって提供される X.509 証明書のコレクションを表します。 |
解説
発行されるトークンのシナリオには、3 つの段階があります。まず、サービスにアクセスしようとしているクライアントがセキュリティ トークン サービスに参照されます。次に、セキュリティ トークン サービスがクライアントを認証し、その後、クライアントにトークン (通常は、SAML (Security Assertions Markup Language) トークン) を発行します。最後に、クライアントがトークンを持ってサービスに戻ります。サービスはトークンを調べ、トークンを認証することでクライアントの認証を可能にするデータを確認します。トークンを認証するには、セキュリティ トークン サービスで使用される証明書がサービスによって認識されている必要があります。
<serviceCredentials> の <issuedTokenAuthentication> 要素は、このようなセキュリティ トークン サービス証明書のリポジトリです。証明書を追加するには、<knownCertificates>を使用します。次の例に示すように、証明書ごとに <knownCertificates> の <add>を挿入します。
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine" storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
既定では、証明書はセキュリティ トークン サービスから取得する必要があります。このような "既知" の証明書により、正当なクライアントのみがサービスにアクセスできるようになります。
クライアントがフェデレーション サービスによって認証される条件と、この構成要素の使い方の詳細については、「How to: Configure Credentials on a Federation Service」を参照してください。フェデレーション シナリオの詳細については、「Federation and SAML」を参照してください。
例
以下の例では、STS 証明書のリポジトリに証明書を追加します。
<serviceBehaviors>
<behavior name="myServiceBehavior">
<serviceCredentials>
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com" storeLocation="LocalMachine"
storeName="CertificateAuthority"
x509FindType="FindByIssuerName" />
</knownCertificates>
</issuedTokenAuthentication>
</serviceCredentials>
</behavior>
</serviceBehaviors>
参照
リファレンス
<knownCertificates>
SamlSecurityTokenAuthenticator
AllowedAudienceUris
AudienceUriMode
KnownCertificates
X509CertificateTrustedIssuerElementCollection
X509CertificateTrustedIssuerElement
KnownCertificates
その他のリソース
Working with Certificates
Federation and SAML
How to: Configure Credentials on a Federation Service
Securing Services and Clients