WS 2007 联合 HTTP 绑定

WS2007FederationHttp 示例演示 WS2007FederationHttpBinding 的用法,它是一个标准绑定,可用来生成支持 1.3 版 WS-Trust 规范的联合方案。

注意

本主题的最后介绍了此示例的设置过程和生成说明。

此示例由基于控制台的客户端程序 (Client.exe)、基于控制台的安全令牌服务程序 (Securitytokenservice.exe) 和基于控制台的服务程序 (Service.exe) 组成。 服务实现用来定义“请求/答复”通信模式的协定。 该协定由 ICalculator 接口定义,此接口公开数学运算(AddSubtractMultiplyDivide)。 客户端从安全令牌服务 (STS) 获取安全令牌,向服务发出同步请求,以进行给定数学运算。 服务使用结果进行回复。 客户端活动显示在控制台窗口中。

此示例使用 ICalculator 元素提供 ws2007FederationHttpBinding 协定。 下面的代码演示了此绑定在客户端上的配置:

<bindings>
  <ws2007FederationHttpBinding>
    <binding name="ServiceFed" >
      <security mode ="Message">
        <message issuedKeyType ="SymmetricKey"
                 issuedTokenType ="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1" >
          <!-- Endpoint address and binding for Security Token Service -->
          <issuer address ="http://localhost:8000/sts/windows"
                  binding ="ws2007HttpBinding" />
        </message>
      </security>
    </binding>
  </ws2007FederationHttpBinding>
</bindings>

<security> 上,security 值配置应使用的安全模式。 在本示例中使用了 message 安全性,这也是在 <security> 内指定 <message> 的原因。 <message> 内的 <issuer> 元素针对向客户端颁发安全令牌的 STS 指定地址和绑定,以便客户端能够向 ICalculator 服务进行身份验证。

下面的代码演示了此绑定在服务上的配置:

<bindings>
  <ws2007FederationHttpBinding>
    <binding name="ServiceFed" >
      <security mode ="Message">
        <message issuedKeyType ="SymmetricKey"
                 issuedTokenType ="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1" >
          <!-- Metadata address for Security Token Service -->
          <issuerMetadata address ="http://localhost:8000/sts/mex" >
            <identity>
              <certificateReference storeLocation ="CurrentUser"
                                    storeName="TrustedPeople"
                                    x509FindType ="FindBySubjectDistinguishedName"
                                    findValue ="CN=STS" />
            </identity>
          </issuerMetadata>
        </message>
      </security>
    </binding>
  </ws2007FederationHttpBinding>
</bindings>

<security> 上,security 值配置应使用的安全模式。 在本示例中使用了 message 安全性,这也是在 <security> 内指定 <message> 的原因。 <message>ws2007FederationHttpBinding<issuerMetadata> 元素为某个终结点指定地址和标识,该终结点可用于检索 STS 的元数据。

下面的代码演示了该服务的行为:

<behaviors>
  <serviceBehaviors>
    <behavior name ="ServiceBehaviour" >
      <serviceDebug includeExceptionDetailInFaults ="true"/>
      <serviceMetadata httpGetEnabled ="true"/>
      <serviceCredentials>
        <issuedTokenAuthentication>
          <knownCertificates>
            <add storeLocation ="LocalMachine"
                 storeName="TrustedPeople"
                 x509FindType="FindBySubjectDistinguishedName"
                 findValue="CN=STS" />
          </knownCertificates>
        </issuedTokenAuthentication>
        <serviceCertificate storeLocation ="LocalMachine"
                            storeName ="My"
                            x509FindType ="FindBySubjectDistinguishedName"
                            findValue ="CN=localhost"/>
      </serviceCredentials>
    </behavior>
  </serviceBehaviors>
</behaviors>

<issuedTokenAuthentication>> 使服务可以对它在身份验证过程中允许客户端出示的令牌指定约束。 此配置指定该服务接受由主题名称为 CN=STS 的证书签名的令牌。

STS 使用标准的 WS2007HttpBinding 提供单个终结点。 服务响应客户端对令牌的请求。 如果客户端使用 Windows 帐户进行身份验证,则服务将颁发一个令牌,该令牌以声明的形式包含客户端的用户名。 在创建令牌的过程中,STS 使用与 CN=STS 证书关联的私钥对令牌进行签名。 另外,它还创建对称密钥并使用与 CN=localhost 证书关联的公钥对该密钥进行加密。 在向客户端返回令牌的过程中,STS 还返回对称密钥。 客户端向 ICalculator 服务出示所颁发的令牌,并通过使用密钥对消息进行签名来证明客户端知道该对称密钥。

运行示例时,对安全令牌的请求显示在 STS 控制台窗口中。 操作请求和响应显示在客户端和服务控制台窗口中。 在任何一个控制台窗口中按 Enter 可以关闭应用程序。

Add(100,15.99) = 115.99
Subtract(145,76.54) = 68.46
Multiply(9,81.25) = 731.25
Divide(22,7) = 3.14285714285714
Press <ENTER> to terminate client.

通过运行此示例随附的 Setup.bat 文件,可以用相关的证书将服务器和 STS 配置为运行自承载应用程序。 该批处理文件在 LocalMachine/TrustedPeople 证书存储区中创建两个证书。 第一个证书的主题名称为 CN=STS,STS 使用该证书对颁发给客户端的安全令牌进行签名。 第二个证书的主题名称为 CN=localhost,STS 使用该证书,按照服务能够解密的方式对密钥进行加密。

设置、生成和运行示例

  1. 请确保已执行 Windows Communication Foundation 示例的一次性安装过程

  2. 使用管理员权限打开 Visual Studio 的开发人员命令提示并运行 Setup.bat 文件以创建所需的证书。

该批处理文件使用随 Windows SDK 分发的 Certmgr.exe 和 Makecert.exe。 但是,必须在 Visual Studio 命令提示中运行 Setup.bat,脚本才能找到这些工具。

  1. 若要生成 C# 或 Visual Basic .NET 版本的解决方案,请按照 Building the Windows Communication Foundation Samples中的说明进行操作。

  2. 要使用单机配置或跨计算机配置运行示例,请按照运行 Windows Communication Foundation 示例中的说明进行操作。 如果使用的是 Windows Vista,则必须用提升的权限运行 Service.exe、Client.exe 和 SecurityTokenService.exe(右键单击这些文件,再单击“以管理员身份运行”)。