<serviceCredentials> 的 <issuedTokenAuthentication>
指定發行為服務認證的自訂權杖。
<configuration>
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior>
<serviceCredentials>
<issuedTokenAuthentication>
Syntax
<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
audienceUriMode="Always/BearerKeyOnly/Never"
customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
samlSerializer="String"
trustedStoreLocation="CurrentUser/LocalMachine">
<allowedAudienceUris>
<add allowedAudienceUri="String" />
</allowedAudienceUris>
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
</knownCertificates>
</issuedTokenAuthentication>
屬性和項目
下列各節說明屬性、子元素和父元素
屬性
| 屬性 | 描述 |
|---|---|
allowedAudienceUris |
取得目標 URI 的集合,SamlSecurityToken 安全性權杖會以其為目標,這樣該 SamlSecurityTokenAuthenticator 執行個體才會將其視為有效。 如需使用這個屬性的詳細資訊,請參閱 AllowedAudienceUris。 |
allowUntrustedRsaIssuers |
布林值,指定是否允許使用未受信任的 RSA 憑證簽發者。 憑證是由憑證授權單位 (CA) 簽署,以確認真實性。 未受信任的簽發者,是指未指定為可信任進行簽署憑證的 CA。 |
audienceUriMode |
取得值,這個值會指定是否應驗證 SamlSecurityToken 安全性權杖的 SamlAudienceRestrictionCondition。 這個值的型別為 AudienceUriMode。 如需使用這個屬性的詳細資訊,請參閱 AudienceUriMode。 |
certificateValidationMode |
設定憑證驗證模式。 X509CertificateValidationMode 的其中一個有效值。 如果設定為 Custom,也必須提供 customCertificateValidator。 預設為 ChainTrust。 |
customCertificateValidatorType |
選擇性字串。 用來驗證自訂型別的型別和組件。 當 certificateValidationMode 設定為 Custom 時,必須設定這個屬性。 |
revocationMode |
設定撤銷模式,這個模式會指定是否進行撤銷檢查,並且指定以線上或離線的方式執行。 此屬性的型別為 X509RevocationMode。 |
samlSerializer |
選用性字串屬性,指定用於服務認證之 SamlSerializer 的型別。 預設為空字串。 |
trustedStoreLocation |
選擇性列舉。 兩個系統存放位置的其中一個:LocalMachine 或 CurrentUser。 |
子元素
| 元素 | 描述 |
|---|---|
knownCertificates |
指定 X509CertificateTrustedIssuerElement 項目的集合,這個集合會指定服務認證的受信任簽發者。 |
父項目
| 元素 | 描述 |
|---|---|
| <serviceCredentials> | 指定要用於驗證 (Authenticate) 服務的認證,以及用戶端認證的驗證 (Validation) 相關設定。 |
備註
發行之權杖的情況有三個階段。 在第一個階段中,用戶端會嘗試存取稱為「安全權杖服務」的服務。 此安全權杖服務接著會驗證用戶端,隨後並對用戶端發出權杖,通常是安全性判斷提示標記語言 (SAML) 權杖。 用戶端接著會以權杖傳回服務。 此服務會檢查資料的權杖,使服務能夠驗證權杖,因此也能夠驗證用戶端。 若要驗證權杖,安全權杖服務所使用的憑證必須讓服務知道。
這個項目是任何此類安全權杖服務憑證的存放庫。 若要新增憑證,請使用 <knownCertificates>。 為每個憑證插入 <add>,如下列範例所示。
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
根據預設,必須從安全權杖服務取得憑證。 這些「已知的」憑證可確保只有合法的用戶端可以存取服務。
如需有關使用此設定元素的詳細資訊,請參閱操作說明:在同盟服務上設定認證。
