<serviceCredentials> 的 <issuedTokenAuthentication>
指定發行為服務認證的自訂權杖。
<<system.serviceModel>>
<behaviors>
<serviceBehaviors>
<serviceBehaviors> 的 <behavior>
<serviceCredentials>
<serviceCredentials> 的 <issuedTokenAuthentication>
<issuedTokenAuthentication
allowUntrustedRsaIssuers="Boolean"
audienceUriMode="Always/BearerKeyOnly/Never"
customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
samlSerializer="String"
trustedStoreLocation="CurrentUser/LocalMachine">
<allowedAudienceUris>
<add allowedAudienceUri="String"/>
</allowedAudienceUris>
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>
</issuedTokenAuthentication>
屬性和項目
屬性
屬性 | 描述 |
---|---|
allowedAudienceUris |
取得目標 URI 的集合,SamlSecurityToken 安全性權杖會以其為目標,這樣該 SamlSecurityTokenAuthenticator 執行個體才會將其視為有效。如需使用這個屬性的詳細資訊,請參閱 AllowedAudienceUris。 |
allowUntrustedRsaIssuers |
布林值,指定是否允許使用未受信任的 RSA 憑證發行者。 憑證是由憑證授權單位 (CA) 簽署,以確認真實性。未受信任的發行者,是指未指定為可信任進行簽署憑證的 CA。 |
audienceUriMode |
取得值,這個值會指定是否應驗證 SamlSecurityToken 安全性權杖的 SamlAudienceRestrictionCondition。這個值的型別為 AudienceUriMode。如需使用這個屬性的詳細資訊,請參閱 AudienceUriMode。 |
certificateValidationMode |
設定憑證驗證模式。X509CertificateValidationMode 的其中一個有效值。如果設定為 Custom,也必須提供 customCertificateValidator。預設為 ChainTrust。 |
customCertificateValidatorType |
選擇性字串。用來驗證自訂型別的型別和組件。當 certificateValidationMode 設定為 Custom 時,必須設定這個屬性。 |
revocationMode |
設定撤銷模式,這個模式會指定是否進行撤銷檢查,並且指定以線上或離線的方式執行。此屬性的型別為 X509RevocationMode。 |
samlSerializer |
選用性字串屬性,指定用於服務認證之 SamlSerializer 的型別。預設為空字串。 |
trustedStoreLocation |
選擇性列舉。兩個系統存放位置的其中一個:LocalMachine 或 CurrentUser。 |
子項目
項目 | 描述 |
---|---|
knownCertificates |
指定 X509CertificateTrustedIssuerElement 項目的集合,這個集合會指定服務認證的受信任發行者。 |
父項目
項目 | 描述 |
---|---|
指定要用於驗證 (Authenticate) 服務的認證,以及用戶端認證的驗證 (Validation) 相關設定。 |
備註
發行之權杖的情況有三個階段。在第一個階段中,用戶端會嘗試存取稱為「安全權杖服務」(Secure Token Service) 的服務。此安全權杖服務接著會驗證用戶端,隨後並對用戶端發出權杖,通常是安全性判斷提示標記語言 (SAML) 權杖。用戶端接著會以權杖傳回服務。此服務會檢查資料的權杖,使服務能夠驗證權杖,因此也能夠驗證用戶端。若要驗證權杖,安全權杖服務所使用的憑證必須讓服務知道。
這個項目是任何此類安全權杖服務憑證的存放庫。若要加入憑證,請使用 <knownCertificates>。為每個憑證插入 <knownCertificates> 的 <add>,如下列範例所示。
<issuedTokenAuthorization>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine" storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
根據預設,必須從安全權杖服務取得憑證。這些「已知的」憑證可確保只有合法的用戶端可以存取服務。
如需使用此組態項目的詳細資訊,請參閱 How To: Configure Credentials on a Federation Service。
請參閱
參考
SamlSecurityTokenAuthenticator
AllowedAudienceUris
AudienceUriMode
IssuedTokenAuthentication
IssuedTokenServiceElement
IssuedTokenAuthentication
IssuedTokenServiceCredential
其他資源
Securing Services and Clients
How To: Configure Credentials on a Federation Service