Partilhar via


<issuedTokenAuthentication> of <serviceCredentials>

Especifica um token personalizado emitido como uma credencial de serviço.

<configuração>
  <system.serviceModel>
    <comportamentos>
      <serviceBehaviors>
        <comportamento>
          <serviceCredentials>
            <issuedTokenAuthentication>

Syntax

<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
                           audienceUriMode="Always/BearerKeyOnly/Never"
                           customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
                           certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
                           revocationMode="NoCheck/Online/Offline"
                           samlSerializer="String"
                           trustedStoreLocation="CurrentUser/LocalMachine">
  <allowedAudienceUris>
    <add allowedAudienceUri="String" />
  </allowedAudienceUris>
  <knownCertificates>
    <add findValue="String"
         storeLocation="CurrentUser/LocalMachine"
         storeName=" CurrentUser/LocalMachine"
         x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
  </knownCertificates>
</issuedTokenAuthentication>

Atributos e Elementos

As secções seguintes descrevem atributos, elementos subordinados e elementos principais

Atributos

Atributo Descrição
allowedAudienceUris Obtém o conjunto de URIs de destino para os quais o SamlSecurityToken token de segurança pode ser direcionado para, para ser considerado válido por uma SamlSecurityTokenAuthenticator instância. Para obter mais informações sobre como utilizar este atributo, consulte AllowedAudienceUris.
allowUntrustedRsaIssuers Um valor booleano que especifica se os emissores de certificados RSA não fidedignos são permitidos.

Os certificados são assinados por autoridades de certificação (ACs) para verificar a autenticidade. Um emissor não fidedigno é uma AC que não é especificada como fidedigna para assinar certificados.
audienceUriMode Obtém um valor que especifica se o SamlSecurityToken token de SamlAudienceRestrictionCondition segurança deve ser validado. Este valor é do tipo AudienceUriMode. Para obter mais informações sobre como utilizar este atributo, consulte AudienceUriMode.
certificateValidationMode Define o modo de validação do certificado. Um dos valores válidos de X509CertificateValidationMode. Se estiver definido como Custom, também tem de ser fornecido um customCertificateValidator . A predefinição é ChainTrust.
customCertificateValidatorType Cadeia opcional. Um tipo e assemblagem utilizados para validar um tipo personalizado. Este atributo tem de ser definido quando certificateValidationMode estiver definido como Custom.
revocationMode Define o modo de revogação que especifica se ocorre uma verificação de revogação e se é efetuada online ou offline. Este atributo é do tipo X509RevocationMode.
samlSerializer Um atributo de cadeia opcional que especifica o tipo de SamlSerializer que é utilizado para a credencial do serviço. A predefinição é uma cadeia vazia.
trustedStoreLocation Enumeração opcional. Uma das duas localizações do arquivo do sistema: LocalMachine ou CurrentUser.

Elementos Subordinados

Elemento Descrição
knownCertificates Especifica uma coleção de X509CertificateTrustedIssuerElement elementos que especifica emissores fidedignos para a credencial do serviço.

Elementos Principais

Elemento Descrição
<serviceCredentials> Especifica a credencial a utilizar na autenticação do serviço e as definições relacionadas com a validação de credenciais do cliente.

Observações

O cenário de token emitido tem três fases. Na primeira fase, um cliente que tenta aceder a um serviço é referido como um serviço de token seguro. Em seguida, o serviço de token seguro autentica o cliente e, posteriormente, emite um token ao cliente, normalmente um token SAML (Security Assertions Markup Language). Em seguida, o cliente regressa ao serviço com o token. O serviço examina o token de dados que permitem ao serviço autenticar o token e, portanto, o cliente. Para autenticar o token, o certificado que o serviço de token seguro utiliza tem de ser conhecido pelo serviço.

Este elemento é o repositório de tais certificados de serviço de tokens seguros. Para adicionar certificados, utilize os <knownCertificates>. Insira um <suplemento> para cada certificado, conforme mostrado no exemplo seguinte.

<issuedTokenAuthentication>
  <knownCertificates>
    <add findValue="www.contoso.com"
         storeLocation="LocalMachine"
         storeName="My"
         X509FindType="FindBySubjectName" />
  </knownCertificates>
</issuedTokenAuthentication>

Por predefinição, os certificados têm de ser obtidos a partir de um serviço de token seguro. Estes certificados "conhecidos" garantem que apenas os clientes legítimos podem aceder a um serviço.

Para obter mais informações sobre como utilizar este elemento de configuração, veja Como: Configurar Credenciais num Serviço de Federação.

Ver também