Поделиться через

<issuedTokenAuthentication> для <serviceCredentials>

  • Статья

Определяет пользовательский маркер, выданный в качестве учетных данных службы.

Иерархия схемы

<system.serviceModel>
  <варианты поведения>
    <serviceBehaviors>
      <behavior> для <serviceBehaviors>
        <serviceCredentials>
          <issuedTokenAuthentication> для <serviceCredentials>

Синтаксис

<issuedTokenAuthentication 
   allowUntrustedRsaIssuers="Boolean"
   audienceUriMode="Always/BearerKeyOnly/Never"
      customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
   revocationMode="NoCheck/Online/Offline"
   samlSerializer="String"
    trustedStoreLocation="CurrentUser/LocalMachine">
      <allowedAudienceUris>
      <add allowedAudienceUri="String"/>
      </allowedAudienceUris>
      <knownCertificates> 
         <add findValue="String"
                 storeLocation="CurrentUser/LocalMachine"
                storeName=" CurrentUser/LocalMachine"
                x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
      </knownCertificates>
</issuedTokenAuthentication>

Атрибуты и элементы

В следующих разделах описываются атрибуты, дочерние и родительские элементы.

Атрибуты

Атрибут Описание

allowedAudienceUris

Возвращает набор целевых универсальных кодов ресурса (URI), для которых может быть предназначен маркер безопасности SamlSecurityToken, чтобы считаться допустимым в экземпляре SamlSecurityTokenAuthenticator. Дополнительные сведения об использовании этого атрибута см. в разделе AllowedAudienceUris.

allowUntrustedRsaIssuers

Логическое значение, которое указывает, допускаются ли недоверенные издатели сертификатов RSA.

Сертификаты подписываются центрами сертификации (ЦС) для проверки подлинности. Недоверенным издателем является ЦС, который не указан как надежный для подписания сертификатов.

audienceUriMode

Возвращает значение, которое указывает, должно ли проверяться свойство SamlAudienceRestrictionCondition маркера безопасности SamlSecurityToken. Это значение имеет тип AudienceUriMode. Дополнительные сведения об использовании этого атрибута см. в разделе AudienceUriMode.

certificateValidationMode

Устанавливает режим проверки сертификата. Одно из допустимых значений для X509CertificateValidationMode. Если задано значение Custom, также необходимо предоставить customCertificateValidator. Значение по умолчанию — ChainTrust.

customCertificateValidatorType

Необязательная строка. Тип и сборка, используемые для проверки пользовательского типа. Этот атрибут должен быть задан, когда certificateValidationMode имеет значение Custom.

revocationMode

Задает режим отзыва, который указывает, проводится ли проверка списка отозванных сертификатов; этот режим также определяет способ проверки: с подключением к сети или автономно. Это атрибут типа X509RevocationMode.

samlSerializer

Необязательный строковый атрибут, который задает тип SamlSerializer, который используется для учетных данных службы. Значение по умолчанию — пустая строка.

trustedStoreLocation

Необязательное перечисление. Одно из двух местоположений системного хранилища: LocalMachine или CurrentUser.

Дочерние элементы

Элемент Описание

knownCertificates

Задает коллекцию элементов X509CertificateTrustedIssuerElement, которая задает доверенных издателей для учетных данных службы.

Родительские элементы

Элемент Описание

<serviceCredentials>

Задает учетные данные, используемые при проверке подлинности службы, а также параметры, относящиеся к проверке учетных данных клиента.

Замечания

В сценарии с выданным маркером имеется три этапа. На первом этапе клиент, который пытается получить доступ к службе, направляется к службе маркеров безопасности. Затем служба маркеров безопасности проводит проверку подлинности клиента и выдает клиенту маркер, обычно на языке Security Assertions Markup Language (SAML). После этого клиент возвращается к службе с этим маркером. Служба проверяет наличие в маркере данных, позволяющих проверить подлинность маркера и, соответственно, самого клиента. Для проверки подлинности маркера сертификат, используемый службой маркеров безопасности, должен быть известен службе.

Этот элемент является хранилищем подобных сертификатов службы маркеров безопасности. Используйте элемент <knownCertificates>, чтобы добавить сертификаты. Вставьте элемент <add> для <knownCertificates> для каждого сертификата, как показано в следующем примере.

<issuedTokenAuthorization>
   <knownCertificates>
      <add findValue="www.contoso.com" 
           storeLocation="LocalMachine" storeName="My" 
           X509FindType="FindBySubjectName" />
    </knownCertificates>
</issuedTokenAuthentication>

По умолчанию сертификаты должны быть получены от службы маркеров безопасности. Эти «известные» сертификаты гарантируют, что доступ к службе могут получить только допустимые клиенты.

Дополнительные сведения об использовании данного элемента конфигурации см. в разделе How To: Configure Credentials on a Federation Service.

См. также

Справочник

SamlSecurityTokenAuthenticator
AllowedAudienceUris
AudienceUriMode
IssuedTokenAuthentication
IssuedTokenServiceElement
IssuedTokenAuthentication
IssuedTokenServiceCredential

Другие ресурсы

Securing Services and Clients
How To: Configure Credentials on a Federation Service