Ereignisse
17. März, 23 Uhr - 21. März, 23 Uhr
Nehmen Sie an der Meetup-Serie teil, um skalierbare KI-Lösungen basierend auf realen Anwendungsfällen mit Mitentwicklern und Experten zu erstellen.
Jetzt registrierenDieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen.
Die neue Identitätsfunktion von Windows Communication Foundation (WCF) ermöglicht einem Client das vorzeitige Angeben der erwarteten Identität des Diensts. Bei jeder Authentifizierung eines Servers beim Client wird die Identität mit der erwarteten Identität verglichen. (Eine Erläuterung der Identität und deren Funktionsweise finden Sie unter Dienstidentität und Authentifizierung.)
Sofern erforderlich, kann die Überprüfung mit einer benutzerdefinierten Identitätsüberprüfung angepasst werden. Zum Beispiel können Sie zusätzliche Dienstidentitätsüberprüfungen durchführen. In diesem Beispiel überprüft die benutzerdefinierte Identitätsprüfung zusätzliche Ansprüche in dem X.509-Zertifikat, das vom Server zurückgegeben wird. Eine Beispielanwendung finden Sie unter Beispiel Dienstidentität.
Definieren Sie eine neue Klasse, die von der EndpointIdentity-Klasse abgeleitet wird. In diesem Beispiel wird die Erweiterung OrgEndpointIdentity
genannt.
Fügen Sie private Member mit Eigenschaften hinzu, die von der erweiterten IdentityVerifier-Klasse zum Ausführen der Identitätsprüfung anhand der Ansprüche im vom Dienst zurückgegebenen Sicherheitstoken verwendet wird. Dieses Beispiel definiert eine Eigenschaft: die OrganizationClaim
-Eigenschaft.
public class OrgEndpointIdentity : EndpointIdentity
{
private string orgClaim;
public OrgEndpointIdentity(string orgName)
{
orgClaim = orgName;
}
public string OrganizationClaim
{
get { return orgClaim; }
set { orgClaim = value; }
}
}
Public Class OrgEndpointIdentity
Inherits EndpointIdentity
Private orgClaim As String
Public Sub New(ByVal orgName As String)
orgClaim = orgName
End Sub
Public Property OrganizationClaim() As String
Get
Return orgClaim
End Get
Set(ByVal value As String)
orgClaim = value
End Set
End Property
End Class
Definieren Sie eine neue Klasse, die von IdentityVerifier abgeleitet wird. In diesem Beispiel wird die Erweiterung CustomIdentityVerifier
genannt.
public class CustomIdentityVerifier : IdentityVerifier
{
// Code to be added.
public override bool CheckAccess(EndpointIdentity identity, AuthorizationContext authContext)
{
throw new Exception("The method or operation is not implemented.");
}
public override bool TryGetIdentity(EndpointAddress reference, out EndpointIdentity identity)
{
throw new Exception("The method or operation is not implemented.");
}
}
Public Class CustomIdentityVerifier
Inherits IdentityVerifier
' Code to be added.
Public Overrides Function CheckAccess(ByVal identity As EndpointIdentity, _
ByVal authContext As AuthorizationContext) As Boolean
Throw New Exception("The method or operation is not implemented.")
End Function
Public Overrides Function TryGetIdentity(ByVal reference As EndpointAddress, _
<System.Runtime.InteropServices.Out()> ByRef identity As EndpointIdentity) As Boolean
Throw New Exception("The method or operation is not implemented.")
End Function
End Class
Überschreiben Sie die CheckAccess -Methode. Mit dieser Methode wird bestimmt, ob die Identitätsprüfung erfolgreich war oder fehlgeschlagen ist.
Die CheckAccess
-Methode verfügt über zwei Parameter. Der erste Parameter ist eine Instanz der EndpointIdentity-Klasse. Der zweite Parameter ist eine Instanz der AuthorizationContext-Klasse.
Prüfen Sie in der Methodenimplementierung die Auflistung der von der ClaimSets-Eigenschaft der AuthorizationContext-Klasse zurückgegebenen Ansprüche, und führen Sie gemäß Bedarf Authentifizierungsprüfungen aus. Dieses Beispiel beginnt durch Suchen eines Anspruchs vom Typ "Distinguished Name" und anschließendes Vergleichen des Namens mit der Erweiterung von EndpointIdentity (OrgEndpointIdentity
).
public override bool CheckAccess(EndpointIdentity identity, AuthorizationContext authContext)
{
bool returnvalue = false;
foreach (ClaimSet claimset in authContext.ClaimSets)
{
foreach (Claim claim in claimset)
{
if (claim.ClaimType == "http://schemas.microsoft.com/ws/2005/05/identity/claims/x500distinguishedname")
{
X500DistinguishedName name = (X500DistinguishedName)claim.Resource;
if (name.Name.Contains(((OrgEndpointIdentity)identity).OrganizationClaim))
{
Console.WriteLine("Claim Type: {0}", claim.ClaimType);
Console.WriteLine("Right: {0}", claim.Right);
Console.WriteLine("Resource: {0}", claim.Resource);
Console.WriteLine();
returnvalue = true;
}
}
}
}
return returnvalue;
}
Public Overrides Function CheckAccess(ByVal identity As EndpointIdentity, _
ByVal authContext As AuthorizationContext) As Boolean
Dim returnvalue = False
For Each claimset In authContext.ClaimSets
For Each claim In claimset
If claim.ClaimType = "http://schemas.microsoft.com/ws/2005/05/identity/claims/x500distinguishedname" Then
Dim name = CType(claim.Resource, X500DistinguishedName)
If name.Name.Contains((CType(identity, OrgEndpointIdentity)).OrganizationClaim) Then
Console.WriteLine("Claim Type: {0}", claim.ClaimType)
Console.WriteLine("Right: {0}", claim.Right)
Console.WriteLine("Resource: {0}", claim.Resource)
Console.WriteLine()
returnvalue = True
End If
End If
Next claim
Next claimset
Return returnvalue
End Function
Implementieren Sie die TryGetIdentity-Methode, mit der bestimmt wird, ob vom Client eine Instanz der EndpointIdentity-Klasse zurückgegeben werden kann. Die WCF-Infrastruktur ruft die Implementierung der TryGetIdentity
-Methode auf, um zunächst die Identität des Diensts aus der Nachricht abzurufen. Anschließend ruft die Infrastruktur die CheckAccess
-Implementierung mit der zurückgegebenen EndpointIdentity
und dem zurückgegebenen AuthorizationContext auf.
Fügen Sie in die TryGetIdentity
-Methode folgenden Code ein:
public override bool TryGetIdentity(EndpointAddress reference, out EndpointIdentity identity)
{
return IdentityVerifier.CreateDefault().TryGetIdentity(reference, out identity);
}
Public Overrides Function TryGetIdentity(ByVal reference As EndpointAddress, _
<System.Runtime.InteropServices.Out()> ByRef identity As EndpointIdentity) As Boolean
Return IdentityVerifier.CreateDefault().TryGetIdentity(reference, identity)
End Function
Erstellen Sie eine Methode, von der ein Binding-Objekt zurückgegeben wird. In diesem Beispiel wird zunächst eine Instanz der WSHttpBinding-Klasse erstellt und der Sicherheitsmodus auf Message und der ClientCredentialType auf None festgelegt.
Erstellen Sie mit der BindingElementCollection-Methode CreateBindingElements.
Geben Sie SecurityBindingElement aus der Auflistung zurück, und wandeln Sie sie in eine SymmetricSecurityBindingElement-Variable um.
Legen Sie die IdentityVerifier-Eigenschaft der LocalClientSecuritySettings-Klasse auf eine neue Instanz der zuvor erstellten CustomIdentityVerifier
-Klasse fest.
public static Binding CreateCustomSecurityBinding()
{
WSHttpBinding binding = new WSHttpBinding(SecurityMode.Message);
//Clients are anonymous to the service.
binding.Security.Message.ClientCredentialType = MessageCredentialType.None;
//Secure conversation is turned off for simplification. If secure conversation is turned on, then
//you also need to set the IdentityVerifier on the secureconversation bootstrap binding.
binding.Security.Message.EstablishSecurityContext = false;
// Get the SecurityBindingElement and cast to a SymmetricSecurityBindingElement to set the IdentityVerifier.
BindingElementCollection outputBec = binding.CreateBindingElements();
SymmetricSecurityBindingElement ssbe = (SymmetricSecurityBindingElement)outputBec.Find<SecurityBindingElement>();
//Set the Custom IdentityVerifier.
ssbe.LocalClientSettings.IdentityVerifier = new CustomIdentityVerifier();
return new CustomBinding(outputBec);
}
Public Shared Function CreateCustomSecurityBinding() As Binding
Dim binding As New WSHttpBinding(SecurityMode.Message)
With binding.Security.Message
'Clients are anonymous to the service.
.ClientCredentialType = MessageCredentialType.None
'Secure conversation is turned off for simplification. If secure conversation is turned on, then
'you also need to set the IdentityVerifier on the secureconversation bootstrap binding.
.EstablishSecurityContext = False
End With
' Get the SecurityBindingElement and cast to a SymmetricSecurityBindingElement to set the IdentityVerifier.
Dim outputBec = binding.CreateBindingElements()
Dim ssbe = CType(outputBec.Find(Of SecurityBindingElement)(), SymmetricSecurityBindingElement)
'Set the Custom IdentityVerifier.
ssbe.LocalClientSettings.IdentityVerifier = New CustomIdentityVerifier()
Return New CustomBinding(outputBec)
End Function
Mit der benutzerdefinierten Bindung, die zurückgegeben wird, wird eine Instanz des Clients und der Klasse erstellt. Der Client kann anschließend eine benutzerdefinierte Identitätsprüfung des Diensts gemäß der Anzeige im folgenden Code ausführen.
using (CalculatorClient client = new CalculatorClient(customSecurityBinding, serviceAddress))
{
Using client As New CalculatorClient(customSecurityBinding, serviceAddress)
Im folgenden Beispiel wird eine vollständige Implementierung der IdentityVerifier-Klasse gezeigt.
class CustomIdentityVerifier : IdentityVerifier
{
public override bool CheckAccess(EndpointIdentity identity, AuthorizationContext authContext)
{
bool returnvalue = false;
foreach (ClaimSet claimset in authContext.ClaimSets)
{
foreach (Claim claim in claimset)
{
if (claim.ClaimType == "http://schemas.microsoft.com/ws/2005/05/identity/claims/x500distinguishedname")
{
X500DistinguishedName name = (X500DistinguishedName)claim.Resource;
if (name.Name.Contains(((OrgEndpointIdentity)identity).OrganizationClaim))
{
Console.WriteLine("Claim Type: {0}", claim.ClaimType);
Console.WriteLine("Right: {0}", claim.Right);
Console.WriteLine("Resource: {0}", claim.Resource);
Console.WriteLine();
returnvalue = true;
}
}
}
}
return returnvalue;
}
public override bool TryGetIdentity(EndpointAddress reference, out EndpointIdentity identity)
{
return IdentityVerifier.CreateDefault().TryGetIdentity(reference, out identity);
}
}
Friend Class CustomIdentityVerifier
Inherits IdentityVerifier
Public Overrides Function CheckAccess(ByVal identity As EndpointIdentity, _
ByVal authContext As AuthorizationContext) As Boolean
Dim returnvalue = False
For Each claimset In authContext.ClaimSets
For Each claim In claimset
If claim.ClaimType = "http://schemas.microsoft.com/ws/2005/05/identity/claims/x500distinguishedname" Then
Dim name = CType(claim.Resource, X500DistinguishedName)
If name.Name.Contains((CType(identity, OrgEndpointIdentity)).OrganizationClaim) Then
Console.WriteLine("Claim Type: {0}", claim.ClaimType)
Console.WriteLine("Right: {0}", claim.Right)
Console.WriteLine("Resource: {0}", claim.Resource)
Console.WriteLine()
returnvalue = True
End If
End If
Next claim
Next claimset
Return returnvalue
End Function
Public Overrides Function TryGetIdentity(ByVal reference As EndpointAddress, _
<System.Runtime.InteropServices.Out()> ByRef identity As EndpointIdentity) As Boolean
Return IdentityVerifier.CreateDefault().TryGetIdentity(reference, identity)
End Function
End Class
Im folgenden Beispiel wird eine vollständige Implementierung der EndpointIdentity-Klasse gezeigt.
public class OrgEndpointIdentity : EndpointIdentity
{
private string orgClaim;
public OrgEndpointIdentity(string orgName)
{
orgClaim = orgName;
}
public string OrganizationClaim
{
get { return orgClaim; }
set { orgClaim = value; }
}
}
Public Class OrgEndpointIdentity
Inherits EndpointIdentity
Private orgClaim As String
Public Sub New(ByVal orgName As String)
orgClaim = orgName
End Sub
Public Property OrganizationClaim() As String
Get
Return orgClaim
End Get
Set(ByVal value As String)
orgClaim = value
End Set
End Property
End Class
Ereignisse
17. März, 23 Uhr - 21. März, 23 Uhr
Nehmen Sie an der Meetup-Serie teil, um skalierbare KI-Lösungen basierend auf realen Anwendungsfällen mit Mitentwicklern und Experten zu erstellen.
Jetzt registrierenTraining
Modul
Beschreiben der Konzepte hinter Microsoft Entra Verified ID - Training
Beschreiben der wichtigsten Konzepte hinter der Microsoft Entra Verified ID Verschaffen Sie sich einen Überblick über die dezentralisierten Bezeichner und deren Verwendung zum Ausstellen und Überprüfen von Anmeldeinformationen.
Zertifizierung
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren