Compartilhar via


<issuedTokenAuthentication> de <serviceCredentials>

Especifica um token personalizado emitido como uma credencial de serviço.

<configuration>
  <system.serviceModel>
    <behaviors>
      <serviceBehaviors>
        <behavior>
          <serviceCredentials>
            <issuedTokenAuthentication>

Syntax

<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
                           audienceUriMode="Always/BearerKeyOnly/Never"
                           customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
                           certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
                           revocationMode="NoCheck/Online/Offline"
                           samlSerializer="String"
                           trustedStoreLocation="CurrentUser/LocalMachine">
  <allowedAudienceUris>
    <add allowedAudienceUri="String" />
  </allowedAudienceUris>
  <knownCertificates>
    <add findValue="String"
         storeLocation="CurrentUser/LocalMachine"
         storeName=" CurrentUser/LocalMachine"
         x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
  </knownCertificates>
</issuedTokenAuthentication>

Atributos e elementos

As seções a seguir descrevem os atributos, os elementos filho e os elementos pai

Atributos

Atributo Descrição
allowedAudienceUris Obtém o conjunto de URIs de destino para os quais o token de segurança SamlSecurityToken pode ser direcionado para ser considerado válido por esta instância de SamlSecurityTokenAuthenticator. Para obter mais informações sobre como usar esse atributo, consulte AllowedAudienceUris.
allowUntrustedRsaIssuers Um valor booliano que especifica se emissores de certificado RSA não confiáveis são permitidos.

Os certificados são assinados por autoridades de certificação (ACs) para verificar a autenticidade. Um emissor não confiável é uma AC que não é especificada para ser confiável para assinar certificados.
audienceUriMode Obtém um valor que especifica se a SamlSecurityToken do token de segurança SamlAudienceRestrictionCondition deve ser validada. Esse valor é do tipo AudienceUriMode. Para obter mais informações sobre como usar esse atributo, consulte AudienceUriMode.
certificateValidationMode Define o modo de validação de certificado. Um dos valores válidos de X509CertificateValidationMode. Se definido como Custom, também será necessário fornecer um customCertificateValidator. O padrão é ChainTrust.
customCertificateValidatorType Cadeia de caracteres opcional. Um tipo e um assembly usados para validar um tipo personalizado. Esse atributo deverá ser definido quando certificateValidationMode estiver definido como Custom.
revocationMode Define o modo de revogação que especifica se uma verificação de revogação ocorre e se ela é executada online ou offline. Esse atributo é do tipo X509RevocationMode.
samlSerializer Um atributo de cadeia de caracteres opcional que especifica o tipo de SamlSerializer usado para a credencial de serviço. O padrão é uma cadeia de caracteres vazia.
trustedStoreLocation Enumeração opcional. Um dos dois locais do repositório do sistema: LocalMachine ou CurrentUser.

Elementos filho

Elemento Descrição
knownCertificates Especifica uma coleção de X509CertificateTrustedIssuerElement elementos que especifica emissores confiáveis para a credencial de serviço.

Elementos pai

Elemento Descrição
<serviceCredentials> Especifica a credencial a ser usada na autenticação do serviço e as configurações relacionadas à validação de credencial do cliente.

Comentários

O cenário de token emitido tem três fases. Na primeira fase, um cliente que tenta acessar um serviço é encaminhado para um serviço de token seguro. Em seguida, o serviço de token seguro autentica o cliente e, posteriormente, emite um token ao cliente, normalmente um token SAML (Security Assertions Markup Language). Então, o cliente retorna ao serviço com o token. O serviço examina o token para obter dados que lhe permitem autenticar o token e, portanto, o cliente. Para autenticar o token, o certificado que o serviço de token seguro usa deve ser conhecido pelo serviço.

Esse elemento é o repositório para qualquer certificado de serviço de token seguro. Para adicionar certificados, use os <knownCertificates>. Insira um <suplemento> para cada certificado, conforme mostrado no exemplo a seguir.

<issuedTokenAuthentication>
  <knownCertificates>
    <add findValue="www.contoso.com"
         storeLocation="LocalMachine"
         storeName="My"
         X509FindType="FindBySubjectName" />
  </knownCertificates>
</issuedTokenAuthentication>

Por padrão, os certificados devem ser obtidos de um serviço de token seguro. Esses certificados "conhecidos" garantem que somente clientes legítimos possam acessar um serviço.

Para obter mais informações sobre como usar esse elemento de configuração, consulte Como configurar credenciais em um serviço de federação.

Confira também