Partilhar via


Vinculação HTTP de Federação WS 2007

O exemplo WS2007FederationHttp demonstra o uso do WS2007FederationHttpBinding, uma associação padrão que você pode usar para criar cenários federados que oferecem suporte à versão 1.3 da especificação WS-Trust.

Nota

O procedimento de configuração e as instruções de compilação para este exemplo estão localizados no final deste tópico.

O exemplo consiste em um programa cliente baseado em console (Client.exe), um programa de serviço de token de segurança baseado em console (Securitytokenservice.exe) e um programa de serviço baseado em console (Service.exe). O serviço implementa um contrato que define um padrão de comunicação solicitação/resposta. O contrato é definido pela ICalculator interface, que expõe operações matemáticas (Add, Subtract, Multiply, e Divide). O cliente obtém um token de segurança do Serviço de Token de Segurança (STS) e faz solicitações síncronas ao serviço para uma determinada operação matemática. Em seguida, o serviço responde com o resultado. A atividade do cliente é visível na janela do console.

A amostra disponibiliza o ICalculator contrato usando o ws2007FederationHttpBinding elemento . A configuração dessa ligação no cliente é mostrada no código a seguir:

<bindings>
  <ws2007FederationHttpBinding>
    <binding name="ServiceFed" >
      <security mode ="Message">
        <message issuedKeyType ="SymmetricKey"
                 issuedTokenType ="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1" >
          <!-- Endpoint address and binding for Security Token Service -->
          <issuer address ="http://localhost:8000/sts/windows"
                  binding ="ws2007HttpBinding" />
        </message>
      </security>
    </binding>
  </ws2007FederationHttpBinding>
</bindings>

<Na segurança>, o security valor especifica qual modo de segurança deve ser usado. Neste exemplo, message a segurança é usada, e é por isso que a< mensagem> é especificada dentro da <segurança.> O <elemento emissor> dentro da <mensagem> especifica o endereço e a associação para o STS que emite um token de segurança para o cliente para que o cliente possa se autenticar no ICalculator serviço.

A configuração dessa ligação no serviço é mostrada no código a seguir:

<bindings>
  <ws2007FederationHttpBinding>
    <binding name="ServiceFed" >
      <security mode ="Message">
        <message issuedKeyType ="SymmetricKey"
                 issuedTokenType ="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1" >
          <!-- Metadata address for Security Token Service -->
          <issuerMetadata address ="http://localhost:8000/sts/mex" >
            <identity>
              <certificateReference storeLocation ="CurrentUser"
                                    storeName="TrustedPeople"
                                    x509FindType ="FindBySubjectDistinguishedName"
                                    findValue ="CN=STS" />
            </identity>
          </issuerMetadata>
        </message>
      </security>
    </binding>
  </ws2007FederationHttpBinding>
</bindings>

<Na segurança>, o security valor especifica qual modo de segurança deve ser usado. Neste exemplo, message a segurança é usada, e é por isso que a< mensagem> é especificada dentro da <segurança.> O <elemento issuerMetadata> de dentro da <mensagem> especifica o endereço e a identidade de um ponto de ws2007FederationHttpBinding extremidade que pode ser usado para recuperar metadados para o STS.

O comportamento para o serviço é mostrado no seguinte código:

<behaviors>
  <serviceBehaviors>
    <behavior name ="ServiceBehaviour" >
      <serviceDebug includeExceptionDetailInFaults ="true"/>
      <serviceMetadata httpGetEnabled ="true"/>
      <serviceCredentials>
        <issuedTokenAuthentication>
          <knownCertificates>
            <add storeLocation ="LocalMachine"
                 storeName="TrustedPeople"
                 x509FindType="FindBySubjectDistinguishedName"
                 findValue="CN=STS" />
          </knownCertificates>
        </issuedTokenAuthentication>
        <serviceCertificate storeLocation ="LocalMachine"
                            storeName ="My"
                            x509FindType ="FindBySubjectDistinguishedName"
                            findValue ="CN=localhost"/>
      </serviceCredentials>
    </behavior>
  </serviceBehaviors>
</behaviors>

O <issuedTokenAuthentication>> permite que o serviço especifique restrições nos tokens que permite que os clientes apresentem durante a autenticação. Essa configuração especifica que os tokens assinados por um certificado cujo nome de assunto é CN=STS são aceitos pelo serviço.

O STS disponibiliza um único ponto de extremidade usando o padrão WS2007HttpBinding. O serviço responde a solicitações de clientes para tokens. Se o cliente for autenticado usando uma conta do Windows, o serviço emitirá um token que contém o nome de usuário do cliente como uma declaração. Como parte da criação do token, o STS assina o token usando a chave privada associada ao certificado CN=STS. Além disso, ele cria uma chave simétrica e a criptografa usando a chave pública associada ao certificado CN=localhost. Ao retornar o token para o cliente, o STS também retorna a chave simétrica. O cliente apresenta o token emitido ao ICalculator serviço e prova que conhece a chave simétrica assinando a mensagem com essa chave.

Quando você executa o exemplo, a solicitação para o token de segurança é mostrada na janela do console STS. As solicitações e respostas da operação são exibidas nas janelas do cliente e do console de serviço. Pressione ENTER em qualquer uma das janelas do console para desligar o aplicativo.

Add(100,15.99) = 115.99
Subtract(145,76.54) = 68.46
Multiply(9,81.25) = 731.25
Divide(22,7) = 3.14285714285714
Press <ENTER> to terminate client.

O arquivo Setup.bat incluído neste exemplo permite configurar o servidor e o STS com os certificados relevantes para executar um aplicativo auto-hospedado. O arquivo em lotes cria dois certificados no armazenamento de certificados LocalMachine/TrustedPeople. O primeiro certificado tem um nome de assunto CN=STS e é usado pelo STS para assinar os tokens de segurança que ele emite para o cliente. O segundo certificado tem um nome de assunto CN=localhost e é usado pelo STS para criptografar uma chave de uma forma que o serviço possa descriptografar.

Para configurar, compilar e executar o exemplo

  1. Certifique-se de ter executado o procedimento de instalação única para os exemplos do Windows Communication Foundation.

  2. Abra um prompt de comando do desenvolvedor para Visual Studio com privilégios de administrador e execute o arquivo Setup.bat para criar os certificados necessários.

Esse arquivo em lotes usa Certmgr.exe e Makecert.exe, que são distribuídos com o SDK do Windows. No entanto, você deve executar Setup.bat de dentro de um prompt de comando do Visual Studio para habilitar o script para localizar essas ferramentas.

  1. Para criar a edição C# ou Visual Basic .NET da solução, siga as instruções em Criando os exemplos do Windows Communication Foundation.

  2. Para executar o exemplo em uma configuração de computador único ou entre computadores, siga as instruções em Executando os exemplos do Windows Communication Foundation. Se estiver a utilizar o Windows Vista, tem de executar Service.exe, Client.exe e SecurityTokenService.exe com privilégios elevados (clique com o botão direito do rato nos ficheiros e, em seguida, clique em Executar como administrador).