<issuedTokenAuthentication> de <serviceCredentials>
Indique un jeton personnalisé émis en tant qu'informations d'identification du service.
<configuration>
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior>
<serviceCredentials>
<issuedTokenAuthentication>
Syntaxe
<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
audienceUriMode="Always/BearerKeyOnly/Never"
customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
samlSerializer="String"
trustedStoreLocation="CurrentUser/LocalMachine">
<allowedAudienceUris>
<add allowedAudienceUri="String" />
</allowedAudienceUris>
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
</knownCertificates>
</issuedTokenAuthentication>
Attributs et éléments
Les sections suivantes décrivent des attributs, des éléments enfants et des éléments parents.
Attributs
| Attribut | Description |
|---|---|
allowedAudienceUris |
Obtient le jeu d'URI cibles pour lesquels le jeton de sécurité SamlSecurityToken peut être visé pour être considéré comme valide par une instance de SamlSecurityTokenAuthenticator. Pour plus d'informations sur l'utilisation de cet attribut, consultez AllowedAudienceUris. |
allowUntrustedRsaIssuers |
Valeur booléenne indiquant si les émetteurs de certificats RSA non fiables sont autorisés. Les certificats sont signés par des autorités de certification (CA) pour en assurer l'authenticité. Un émetteur non fiable est une autorité de certification qui n'est pas spécifiée comme étant approuvée pour signer des certificats. |
audienceUriMode |
Obtient une valeur indiquant si le SamlSecurityToken du jeton de sécurité SamlAudienceRestrictionCondition doit être validé. Cette valeur est de type AudienceUriMode. Pour plus d'informations sur l'utilisation de cet attribut, consultez AudienceUriMode. |
certificateValidationMode |
Définit le mode de validation du certificat. L'une des valeurs valides du X509CertificateValidationMode. S'il est défini à Custom, un customCertificateValidator doit également être fourni. La valeur par défaut est ChainTrust. |
customCertificateValidatorType |
Chaîne facultative. Type et assembly utilisés pour valider un type personnalisé. Cet attribut doit être défini lorsque certificateValidationMode a la valeur Custom. |
revocationMode |
Définit le mode de révocation qui spécifie si un contrôle de révocation a lieu et s'il est effectué en ligne ou hors connexion. Cet attribut est de type X509RevocationMode. |
samlSerializer |
Attribut de chaîne facultatif indiquant le type de SamlSerializer utilisé pour les informations d'identification du service. La valeur par défaut est une chaîne vide. |
trustedStoreLocation |
Énumération facultative. L'un des deux emplacements du magasin du système : LocalMachine ou CurrentUser. |
Éléments enfants
| Élément | Description |
|---|---|
knownCertificates |
Indique une collection d’éléments X509CertificateTrustedIssuerElement qui spécifient des émetteurs approuvés au niveau des informations d’identification du service. |
Éléments parents
| Élément | Description |
|---|---|
| <serviceCredentials> | Spécifie les informations d’identification à utiliser pour authentifier le service, ainsi que les paramètres liés à la validation des informations d’identification du client. |
Notes
Le scénario de jeton émis comporte trois étapes. Dans la première, un client qui essaie d’accéder à un service est appelé service d’émission de jeton sécurisé. Le service d'émission de jeton sécurisé authentifie ensuite le client et émet par la suite un jeton au client, généralement un jeton SAML (Security Assertions Markup Language). Le client retourne ensuite au service avec le jeton. Le service recherche dans le jeton les données lui permettant de l'authentifier, et par conséquent d'authentifier le client. Pour authentifier le jeton, le service doit connaître le certificat utilisé par le service d'émission de jeton sécurisé.
Cet élément est le référentiel pour les certificats de service d'émission de jeton sécurisé de ce type. Pour ajouter des certificats, utilisez les <knownCertificates>. Insérez <add> pour chaque certificat, tel qu’indiqué dans l’exemple suivant.
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
Par défaut, les certificats doivent être obtenus auprès d'un service d'émission de jeton sécurisé. Ces certificats « connus » garantissent que seuls les clients légitimes peuvent accéder à un service.
Pour plus d’informations sur l’utilisation de cet élément de configuration, consultez Guide pratique pour configurer des informations d’identification sur un service FS (Federation Service).
Voir aussi
- SamlSecurityTokenAuthenticator
- AllowedAudienceUris
- AudienceUriMode
- IssuedTokenAuthentication
- IssuedTokenServiceElement
- IssuedTokenAuthentication
- IssuedTokenServiceCredential
- Sécurisation des services et des clients
- Procédure : configurer des informations d’identification sur un service de fédération
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour