Поделиться через

<issuedTokenAuthentication> serviceCredentials <>

  • Статья

Определяет пользовательский маркер, выданный в качестве учетных данных службы.

<Конфигурации>
  <system.serviceModel>
    <Поведения>
      <serviceBehaviors>
        <Поведение>
          <serviceCredentials>
            <issuedTokenAuthentication>

Синтаксис

<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
                           audienceUriMode="Always/BearerKeyOnly/Never"
                           customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
                           certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
                           revocationMode="NoCheck/Online/Offline"
                           samlSerializer="String"
                           trustedStoreLocation="CurrentUser/LocalMachine">
  <allowedAudienceUris>
    <add allowedAudienceUri="String" />
  </allowedAudienceUris>
  <knownCertificates>
    <add findValue="String"
         storeLocation="CurrentUser/LocalMachine"
         storeName=" CurrentUser/LocalMachine"
         x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
  </knownCertificates>
</issuedTokenAuthentication>

Атрибуты и элементы

В следующих разделах описываются атрибуты, дочерние и родительские элементы.

Атрибуты

Атрибут Описание
allowedAudienceUris Возвращает набор целевых универсальных кодов ресурса (URI), для которых может быть предназначен маркер безопасности SamlSecurityToken, чтобы считаться допустимым в экземпляре SamlSecurityTokenAuthenticator. Дополнительные сведения об использовании этого атрибута см. в разделе AllowedAudienceUris.
allowUntrustedRsaIssuers Логическое значение, которое указывает, допускаются ли недоверенные издатели сертификатов RSA.

Сертификаты подписываются центрами сертификации (ЦС) для проверки подлинности. Недоверенным издателем является ЦС, который не указан как надежный для подписания сертификатов.
audienceUriMode Возвращает значение, которое указывает, должно ли проверяться свойство SamlSecurityToken маркера безопасности SamlAudienceRestrictionCondition. Это значение имеет тип AudienceUriMode. Дополнительные сведения об использовании этого атрибута см. в разделе AudienceUriMode.
certificateValidationMode Устанавливает режим проверки сертификата. Одно из допустимых значений для X509CertificateValidationMode. Если свойству присвоено значение Custom, также необходимо указать свойство customCertificateValidator. Значение по умолчанию — ChainTrust.
customCertificateValidatorType Необязательная строка. Тип и сборка, используемые для проверки пользовательского типа. Этот атрибут должен быть задан, когда certificateValidationMode имеет значение Custom.
revocationMode Задает режим отзыва, который указывает, проводится ли проверка списка отозванных сертификатов; этот режим также определяет способ проверки: с подключением к сети или автономно. Это атрибут типа X509RevocationMode.
samlSerializer Необязательный строковый атрибут, который задает тип SamlSerializer, который используется для учетных данных службы. Значением по умолчанию является пустая строка.
trustedStoreLocation Необязательное перечисление. Одно из двух местоположений системного хранилища: LocalMachine или CurrentUser.

Дочерние элементы

Элемент Описание
knownCertificates Задает коллекцию элементов X509CertificateTrustedIssuerElement, которая задает доверенных издателей для учетных данных службы.

Родительские элементы

Элемент Описание
<serviceCredentials> Задает учетные данные, используемые при проверке подлинности службы, а также параметры, относящиеся к проверке учетных данных клиента.

Комментарии

В сценарии с выданным маркером имеется три этапа. На первом этапе клиент, пытающийся получить доступ к службе, ссылается на службу безопасных маркеров. Затем служба маркеров безопасности проводит проверку подлинности клиента и выдает клиенту маркер, обычно на языке Security Assertions Markup Language (SAML). После этого клиент возвращается к службе с этим маркером. Служба проверяет наличие в маркере данных, позволяющих проверить подлинность маркера и, соответственно, самого клиента. Для проверки подлинности маркера сертификат, используемый службой маркеров безопасности, должен быть известен службе.

Этот элемент является хранилищем подобных сертификатов службы маркеров безопасности. Чтобы добавить сертификаты, используйте известные< сертификаты>. Вставьте добавление<> для каждого сертификата, как показано в следующем примере.

<issuedTokenAuthentication>
  <knownCertificates>
    <add findValue="www.contoso.com"
         storeLocation="LocalMachine"
         storeName="My"
         X509FindType="FindBySubjectName" />
  </knownCertificates>
</issuedTokenAuthentication>

По умолчанию сертификаты должны быть получены от службы маркеров безопасности. Эти "известные" сертификаты гарантируют, что доступ к службе могут получить только допустимые клиенты.

Дополнительные сведения об использовании этого элемента конфигурации см. в разделе Практическое руководство. Настройка учетных данных в службе федерации.

См. также раздел