SecurityTokenService.GetScope(ClaimsPrincipal, RequestSecurityToken) Metoda

Definice

Obor názvů:: System.IdentityModel

Sestavení:: System.IdentityModel.dll

Důležité

Některé informace platí pro předběžně vydaný produkt, který se může zásadně změnit, než ho výrobce nebo autor vydá. Microsoft neposkytuje žádné záruky, výslovné ani předpokládané, týkající se zde uváděných informací.

Scope Získá objekt, který obsahuje informace o předávající straně (RP) přidružené k zadané žádosti (RST). Tuto metodu je nutné přepsat v implementaci SecurityTokenService třídy.

protected:
 abstract System::IdentityModel::Scope ^ GetScope(System::Security::Claims::ClaimsPrincipal ^ principal, System::IdentityModel::Protocols::WSTrust::RequestSecurityToken ^ request);

protected abstract System.IdentityModel.Scope GetScope(System.Security.Claims.ClaimsPrincipal principal, System.IdentityModel.Protocols.WSTrust.RequestSecurityToken request);

abstract member GetScope : System.Security.Claims.ClaimsPrincipal * System.IdentityModel.Protocols.WSTrust.RequestSecurityToken -> System.IdentityModel.Scope

Protected MustOverride Function GetScope (principal As ClaimsPrincipal, request As RequestSecurityToken) As Scope

Parametry

principal: ClaimsPrincipal

A ClaimsPrincipal , který představuje klienta, který požadavek provádí.

request: RequestSecurityToken

A RequestSecurityToken představující příchozí požadavek (RST).

Návraty

Scope

A Scope , který zapouzdřuje informace o rp přidružené k požadavku.

Příklady

Příklad kódu, který se používá v tomto tématu, je převzat z ukázky Custom Token . Tato ukázka poskytuje vlastní třídy, které umožňují zpracování jednoduchých webových tokenů (SWT) a zahrnuje implementaci pasivní stS, která je schopna obsluhovat token SWT. Příklad implementace aktivní služby TOKENS najdete v ukázce Federation Metadata . Informace o těchto ukázkách a dalších ukázkách, které jsou k dispozici pro WIF a o tom, kde je stáhnout, najdete v části Index ukázek kódu WIF.

Následující příklad kódu ukazuje implementaci GetScope metody. Tato implementace ověří, že služba STS rozpozná rp, ověří ReplyTo adresu v požadavku a odpovídajícím způsobem nastaví Scope.ReplyToAddress vlastnost a nastaví podpisové a šifrované přihlašovací údaje pro použití s rp na základě certifikátů, které jsou pevně zakódované v souboru.

// Certificate Constants
private const string SIGNING_CERTIFICATE_NAME = "CN=localhost";
private const string ENCRYPTING_CERTIFICATE_NAME = "CN=localhost";

private SigningCredentials _signingCreds;
private EncryptingCredentials _encryptingCreds;
// Used for validating applies to address, set to URI used in RP app of application, could also have been done via config
private string _addressExpected = "http://localhost:19851/";

/// <summary>
/// This method returns the configuration for the token issuance request. The configuration
/// is represented by the Scope class. In our case, we are only capable of issuing a token to a
/// single RP identity represented by the _encryptingCreds field.
/// </summary>
/// <param name="principal">The caller's principal</param>
/// <param name="request">The incoming RST</param>
/// <returns></returns>
protected override Scope GetScope(ClaimsPrincipal principal, RequestSecurityToken request)
{
    // Validate the AppliesTo address
    ValidateAppliesTo( request.AppliesTo );

    // Create the scope using the request AppliesTo address and the RP identity
    Scope scope = new Scope( request.AppliesTo.Uri.AbsoluteUri, _signingCreds );

    if (Uri.IsWellFormedUriString(request.ReplyTo, UriKind.Absolute))
    {
        if (request.AppliesTo.Uri.Host != new Uri(request.ReplyTo).Host)
            scope.ReplyToAddress = request.AppliesTo.Uri.AbsoluteUri;
        else
            scope.ReplyToAddress = request.ReplyTo;
    }
    else
    {
        Uri resultUri = null;
        if (Uri.TryCreate(request.AppliesTo.Uri, request.ReplyTo, out resultUri))
            scope.ReplyToAddress = resultUri.AbsoluteUri;
        else
            scope.ReplyToAddress = request.AppliesTo.Uri.ToString() ;
    }

    // Note: In this sample app only a single RP identity is shown, which is localhost, and the certificate of that RP is 
    // populated as _encryptingCreds
    // If you have multiple RPs for the STS you would select the certificate that is specific to 
    // the RP that requests the token and then use that for _encryptingCreds
    scope.EncryptingCredentials = _encryptingCreds;

    return scope;
}

/// <summary>
/// Validates the appliesTo and throws an exception if the appliesTo is null or appliesTo contains some unexpected address.
/// </summary>
/// <param name="appliesTo">The AppliesTo parameter in the request that came in (RST)</param>
/// <returns></returns>
void ValidateAppliesTo(EndpointReference appliesTo)
{
    if (appliesTo == null)
    {
        throw new InvalidRequestException("The appliesTo is null.");
    }

    if (!appliesTo.Uri.Equals(new Uri(_addressExpected)))
    {
        throw new InvalidRequestException(String.Format("The relying party address is not valid. Expected value is {0}, the actual value is {1}.", _addressExpected, appliesTo.Uri.AbsoluteUri));
    }
}

Poznámky

Metoda GetScope se volá z kanálu vystavování tokenů za ValidateRequest metodou Scope a měla by vrátit objekt nakonfigurovaný pro příchozí požadavek. (Kanál vystavování tokenů se implementuje v Issue metodě.) Objekt Scope zapouzdřuje informace o rp přidružené k požadavku tokenu zabezpečení (RST). To zahrnuje informace o šifrování a podepisování přihlašovacích údajů, které se mají použít s poskytovatelem prostředků a jestli v odpovědi nešifrují žádné vystavené tokeny nebo symetrické klíče. Mezi typické úlohy prováděné v GetScope metodě patří:

Určete, jestli je rp, pro který je token zamýšlený, rozpoznanou rp. Jak toho dosáhnete, závisí na vaší implementaci. Pokud zamýšlený rp není platným rp pro tuto službu STS, pak by metoda měla vyvolat InvalidRequestException.
Určete přihlašovací údaje pro podepisování, které se mají použít v odpovědi (RSTR) a nastavte SigningCredentials vlastnost odpovídajícím způsobem.
Určete, jestli má být odpověď nebo jakékoli zahrnuté symetrické klíče zašifrované, a přihlašovací údaje, které se mají použít k šifrování. Nastavte vlastnost TokenEncryptionRequireda SymmetricKeyEncryptionRequired EncryptingCredentials vlastnosti odpovídajícím způsobem.

Důležité

Ve výchozím nastavení jsou vlastnosti nastaveny SymmetricKeyEncryptionRequiredtrue tak, TokenEncryptionRequired aby službě STS zabránily v vydávání tokenů, které nejsou zabezpečené. Doporučuje se, aby se tyto vlastnosti nikdy nenastavily false v produkčním prostředí.
Určete adresu, na kterou se má odpověď vrátit. Odpovídajícím způsobem nastavte vlastnost AppliesToAddress nebo ReplyToAddress vlastnost.

Poznámky pro implementátory

Tuto metodu je nutné přepsat v implementaci SecurityTokenService třídy.

Platí pro

Viz také

Váš názor

Byla tato stránka užitečná?