Compartir a través de


<issuedTokenAuthentication> de <serviceCredentials>

Especifica un token personalizado emitido como una credencial de servicio.

<configuration>
  <system.serviceModel>
    <behaviors>
      <serviceBehaviors>
        <behavior>
          <serviceCredentials>
            <issuedTokenAuthentication>

Sintaxis

<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
                           audienceUriMode="Always/BearerKeyOnly/Never"
                           customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
                           certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
                           revocationMode="NoCheck/Online/Offline"
                           samlSerializer="String"
                           trustedStoreLocation="CurrentUser/LocalMachine">
  <allowedAudienceUris>
    <add allowedAudienceUri="String" />
  </allowedAudienceUris>
  <knownCertificates>
    <add findValue="String"
         storeLocation="CurrentUser/LocalMachine"
         storeName=" CurrentUser/LocalMachine"
         x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
  </knownCertificates>
</issuedTokenAuthentication>

Atributos y elementos

En las siguientes secciones se describen los atributos, los elementos secundarios y los elementos primarios

Atributos

Atributo Descripción
allowedAudienceUris Obtiene el conjunto de los URI de destino para los que el token de seguridad SamlSecurityToken se puede destinar con el fin de que una instancia de SamlSecurityTokenAuthenticator lo considere válido. Para obtener más información sobre cómo usar este atributo, vea AllowedAudienceUris.
allowUntrustedRsaIssuers Un valor booleano que especifica si se permiten emisores de certificados de RSA que no son de confianza.

Las entidades emisoras de certificados (CA) firman los certificados para comprobar la autenticidad. Un emisor que no es de confianza es una CA de la cual no se especifica que sea de confianza para firmar certificados.
audienceUriMode Obtiene un valor que especifica si se debería validar SamlSecurityToken del token de seguridad SamlAudienceRestrictionCondition. Este valor es del tipo AudienceUriMode. Para obtener más información sobre cómo usar este atributo, vea AudienceUriMode.
certificateValidationMode Especifica el modo de validación del certificado. Uno de los valores válidos de X509CertificateValidationMode. Si se establece en Custom, también debe proporcionarse un customCertificateValidator. De manera predeterminada, es ChainTrust.
customCertificateValidatorType Cadena opcional. Tipo y ensamblado utilizados para validar un tipo personalizado. Se debe establecer este atributo cuando certificateValidationMode está establecido en Custom.
revocationMode Establece el modo de revocación que especifica si se produce una comprobación de revocación, y si se realiza en línea o sin conexión. Este atributo es del tipo X509RevocationMode.
samlSerializer Un atributo de cadena opcional que especifica el tipo de SamlSerializer que se usa para la credencial del servicio. El valor predeterminado es una cadena vacía.
trustedStoreLocation Enumeración opcional. Una de las dos ubicaciones de almacenamiento del sistema: LocalMachine o CurrentUser.

Elementos secundarios

Elemento Descripción
knownCertificates Especifica una colección de elementos X509CertificateTrustedIssuerElement que indican emisores de confianza para la credencial del servicio.

Elementos primarios

Elemento Descripción
<serviceCredentials> Especifica la credencial que se va a utilizar para autenticar el servicio y los valores relacionados con la validación de la credencial del cliente.

Comentarios

El escenario del token emitido tiene tres etapas. En la primera etapa, un cliente que intenta acceder a un servicio se remite a un servicio de token seguro. El servicio de token seguro autentica, a continuación, al cliente y como consecuencia el cliente emite un token, normalmente un token del lenguaje de marcado de aserción de seguridad (SAML). El cliente vuelve a continuación al servicio con el token. El servicio examina el token para los datos que permite al servicio autenticar el token y, por consiguiente, al cliente. Para autenticar el token, el servicio debe conocer el certificado que usa el servicio de token seguro.

Este elemento es el repositorio para todos los certificados de servicio de token seguro. Para agregar certificados, use los <knownCertificates>. Inserte <add> para cada certificado, tal como se muestra en el ejemplo siguiente.

<issuedTokenAuthentication>
  <knownCertificates>
    <add findValue="www.contoso.com"
         storeLocation="LocalMachine"
         storeName="My"
         X509FindType="FindBySubjectName" />
  </knownCertificates>
</issuedTokenAuthentication>

De forma predeterminada, los certificados se deben obtener a partir de un servicio de token de seguridad. Estos certificados "conocidos" garantizan que solo los clientes legítimos pueden obtener acceso a un servicio.

Para más información sobre el uso de este elemento de configuración, consulte Cómo configurar credenciales en un servicio de federación.

Consulte también