<issuedTokenAuthentication> of <serviceCredentials>
Especifica um token personalizado emitido como uma credencial de serviço.
<configuração>
<system.serviceModel>
<comportamentos>
<serviceBehaviors>
<comportamento>
<serviceCredentials>
<issuedTokenAuthentication>
Syntax
<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
audienceUriMode="Always/BearerKeyOnly/Never"
customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
samlSerializer="String"
trustedStoreLocation="CurrentUser/LocalMachine">
<allowedAudienceUris>
<add allowedAudienceUri="String" />
</allowedAudienceUris>
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
</knownCertificates>
</issuedTokenAuthentication>
Atributos e Elementos
As secções seguintes descrevem atributos, elementos subordinados e elementos principais
Atributos
Atributo | Descrição |
---|---|
allowedAudienceUris |
Obtém o conjunto de URIs de destino para os quais o SamlSecurityToken token de segurança pode ser direcionado para, para ser considerado válido por uma SamlSecurityTokenAuthenticator instância. Para obter mais informações sobre como utilizar este atributo, consulte AllowedAudienceUris. |
allowUntrustedRsaIssuers |
Um valor booleano que especifica se os emissores de certificados RSA não fidedignos são permitidos. Os certificados são assinados por autoridades de certificação (ACs) para verificar a autenticidade. Um emissor não fidedigno é uma AC que não é especificada como fidedigna para assinar certificados. |
audienceUriMode |
Obtém um valor que especifica se o SamlSecurityToken token de SamlAudienceRestrictionCondition segurança deve ser validado. Este valor é do tipo AudienceUriMode. Para obter mais informações sobre como utilizar este atributo, consulte AudienceUriMode. |
certificateValidationMode |
Define o modo de validação do certificado. Um dos valores válidos de X509CertificateValidationMode. Se estiver definido como Custom , também tem de ser fornecido um customCertificateValidator . A predefinição é ChainTrust . |
customCertificateValidatorType |
Cadeia opcional. Um tipo e assemblagem utilizados para validar um tipo personalizado. Este atributo tem de ser definido quando certificateValidationMode estiver definido como Custom . |
revocationMode |
Define o modo de revogação que especifica se ocorre uma verificação de revogação e se é efetuada online ou offline. Este atributo é do tipo X509RevocationMode. |
samlSerializer |
Um atributo de cadeia opcional que especifica o tipo de SamlSerializer que é utilizado para a credencial do serviço. A predefinição é uma cadeia vazia. |
trustedStoreLocation |
Enumeração opcional. Uma das duas localizações do arquivo do sistema: LocalMachine ou CurrentUser . |
Elementos Subordinados
Elemento | Descrição |
---|---|
knownCertificates |
Especifica uma coleção de X509CertificateTrustedIssuerElement elementos que especifica emissores fidedignos para a credencial do serviço. |
Elementos Principais
Elemento | Descrição |
---|---|
<serviceCredentials> | Especifica a credencial a utilizar na autenticação do serviço e as definições relacionadas com a validação de credenciais do cliente. |
Observações
O cenário de token emitido tem três fases. Na primeira fase, um cliente que tenta aceder a um serviço é referido como um serviço de token seguro. Em seguida, o serviço de token seguro autentica o cliente e, posteriormente, emite um token ao cliente, normalmente um token SAML (Security Assertions Markup Language). Em seguida, o cliente regressa ao serviço com o token. O serviço examina o token de dados que permitem ao serviço autenticar o token e, portanto, o cliente. Para autenticar o token, o certificado que o serviço de token seguro utiliza tem de ser conhecido pelo serviço.
Este elemento é o repositório de tais certificados de serviço de tokens seguros. Para adicionar certificados, utilize os <knownCertificates>. Insira um <suplemento> para cada certificado, conforme mostrado no exemplo seguinte.
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
Por predefinição, os certificados têm de ser obtidos a partir de um serviço de token seguro. Estes certificados "conhecidos" garantem que apenas os clientes legítimos podem aceder a um serviço.
Para obter mais informações sobre como utilizar este elemento de configuração, veja Como: Configurar Credenciais num Serviço de Federação.