structure WS_XML_TOKEN_MESSAGE_SECURITY_BINDING (webservices.h)

Sous-type de liaison de sécurité permettant de spécifier l’utilisation d’un jeton de sécurité déjà disponible pour l’application au format XML. Le jeton de sécurité fourni par l’application dans cette liaison est présenté à un service dans un en-tête WS-Security en fonction de la valeur bindingUsage spécifiée. Cette liaison de sécurité peut être incluse dans une description de sécurité uniquement côté client.

Cette liaison de sécurité n’est pas prise en charge avec le WS_NAMEDPIPE_CHANNEL_BINDING.

Bien que cette liaison puisse être utilisée avec n’importe quel jeton disponible au format XML, elle est couramment utilisée dans les scénarios de fédération. Par exemple, un fournisseur de jetons côté client tel que CardSpace peut être utilisé pour obtenir un jeton d’un service de jeton de sécurité, et ce jeton peut ensuite être présenté à un service web à l’aide de cette liaison de sécurité.

Remarque de sécurité : comme pour d’autres jetons de sécurité et informations d’identification, l’application est responsable de la décision d’évaluation des risques de divulguer un jeton XML donné (fourni par l’application dans une description de sécurité) à un serveur donné (fourni par l’application lors de l’ouverture du canal). En particulier, l’application doit tenir compte de la menace que le serveur peut utiliser le jeton XML qu’il reçoit du client, à son tour, pour faire semblant d’être le client pour une tierce partie. Pour cette menace, les mesures d’atténuation suivantes existent : (A) le processus d’authentification du serveur s’assure que le message (et donc le jeton) est envoyé uniquement à un serveur qui peut parler pour l’adresse spécifiée par l’application cliente ; (B) les jetons sans clé (porteur) ne sont généralement utilisables que sur un serveur (par exemple, contoso.com gagne peu en transmettant un jeton de nom d’utilisateur/mot de passe contoso.com à un autre site . la conception de la sécurité de l’application doit s’assurer que cette propriété contient) ; (C) les jetons à clé symétrique sont inutilisables sur tout serveur qui ne partage pas la même clé symétrique ; (D) les jetons à clé asymétrique signent l’horodatage et l’en-tête « À », limitant leur applicabilité au « À » prévu pour une durée limitée.

Avec cette liaison de sécurité, aucune propriété de liaison de sécurité ne peut être spécifiée :

Syntaxe

typedef struct _WS_XML_TOKEN_MESSAGE_SECURITY_BINDING {
  WS_SECURITY_BINDING       binding;
  WS_MESSAGE_SECURITY_USAGE bindingUsage;
  WS_SECURITY_TOKEN         *xmlToken;
} WS_XML_TOKEN_MESSAGE_SECURITY_BINDING;

Membres

binding

Type de base duquel dérivent ce sous-type de liaison de sécurité et tous les autres sous-types de liaison de sécurité.

bindingUsage

Comment le jeton de sécurité correspondant à cette liaison de sécurité doit être lié à un message.

Seule WS_SUPPORTING_MESSAGE_SECURITY_USAGE est prise en charge. Avec cette utilisation, cette liaison de sécurité fournit l’authentification client, mais pas la protection des messages (comme la signature, le chiffrement, la détection de relecture). Par conséquent, cette liaison doit être utilisée avec une autre liaison de sécurité telle que la WS_SSL_TRANSPORT_SECURITY_BINDING qui fournit un canal protégé.

xmlToken

Jeton de sécurité XML à utiliser. Ce jeton peut être créé à l’aide de WsCreateXmlSecurityToken ou obtenu à partir d’un service de jeton de sécurité à l’aide de WsRequestSecurityToken. Lorsque cette liaison est utilisée pour créer un canal, une copie du jeton fourni est effectuée et conservée pour une utilisation interne . L’application continue de posséder le jeton fourni et est responsable de sa suppression avec WsFreeSecurityToken à tout moment après le retour de l’appel de création du canal.

Configuration requise

Condition requise	Valeur
Client minimal pris en charge	Windows 7 [applications de bureau uniquement]
Serveur minimal pris en charge	Windows Server 2008 R2 [applications de bureau uniquement]
En-tête	webservices.h