Összevonás és megbízhatóság
Ez a témakör az összevont alkalmazásokkal, a megbízhatósági határokkal és a konfigurációval, valamint a kibocsátott jogkivonatok Windows Communication Foundationben (WCF) való használatával kapcsolatos különböző szempontokat ismerteti.
Szolgáltatások, biztonsági jogkivonat-szolgáltatások és megbízhatóság
Az összevont végpontokat elérhetővé tevő szolgáltatások általában elvárják, hogy az ügyfelek egy adott kiállító által biztosított jogkivonat használatával hitelesítsék magukat. Fontos, hogy a szolgáltatás a megfelelő hitelesítő adatokkal legyen konfigurálva a kiállító számára; ellenkező esetben nem tudja ellenőrizni az aláírásokat a kibocsátott jogkivonatokon keresztül, és az ügyfél nem tud kommunikálni a szolgáltatással. A kiállítói hitelesítő adatok szolgáltatáson való konfigurálásáról további információt a Következő témakörben talál : Hitelesítő adatok konfigurálása összevonási szolgáltatáson.
Hasonlóképpen, szimmetrikus kulcsok használatakor a kulcsok titkosítva vannak a célszolgáltatáshoz, ezért a biztonsági jogkivonat-szolgáltatást a célszolgáltatáshoz megfelelő hitelesítő adatokkal kell konfigurálnia; ellenkező esetben nem tudja titkosítani a célszolgáltatás kulcsát, és az ügyfél nem tud kommunikálni a szolgáltatással.
A WCF-szolgáltatások a MaxClockSkew SecurityBindingElement tulajdonság értékét használják az ügyfél és a szolgáltatás közötti óraeltérés engedélyezéséhez. Összevonás esetén a beállítás az MaxClockSkew ügyfél és a biztonsági jogkivonat-szolgáltatás közötti óraeltérésekre vonatkozik, ahonnan az ügyfél beszerezte a kibocsátott jogkivonatot. Ezért a biztonsági jogkivonat-szolgáltatásoknak nem kell óraátállítást végeznie a kibocsátott jogkivonat érvényes és lejárati idejének beállításakor.
Feljegyzés
Az óraeltérés fontossága a kibocsátott jogkivonat élettartamának rövidítésével nő. A legtöbb esetben az óraeltérés nem jelent jelentős problémát, ha a jogkivonat élettartama 30 perc vagy több. A rövidebb élettartamú vagy a jogkivonat pontos érvényességi idejét figyelembe vevő forgatókönyveket úgy kell megtervezni, hogy figyelembe vegyék az óraátállítást.
Összevont végpontok és időtúllépések
Amikor egy ügyfél összevont végponttal kommunikál, először be kell szereznie egy megfelelő jogkivonatot egy biztonsági jogkivonat-szolgáltatásból. Ha a biztonsági jogkivonat-szolgáltatás összevont végpontot tesz elérhetővé, az ügyfélnek először le kell szereznie egy jogkivonatot az adott végpont kiállítójától. Minden jogkivonat-beszerzés időt vesz igénybe, és ez az idő a tényleges üzenet végső végpontra való küldéséhez szükséges teljes időkorláttól függ.
Az ügyféloldali csatornán például az időtúllépés 30 másodpercre van állítva. Két jogkivonat-kiállítót kell meghívni a jogkivonatok lekéréséhez, mielőtt elküldené az üzenetet a végső végpontnak, és mindegyik 15 másodpercet vesz igénybe a jogkivonat kiállításához. Ebben az esetben a kísérlet sikertelen lesz, és egy TimeoutException dobás történik. Ezért az ügyfélcsatornán lévő OperationTimeout értéket olyan értékre kell beállítania, amely elég nagy ahhoz, hogy belefoglalja az összes kibocsátott jogkivonat lekéréséhez szükséges időt. Abban az esetben, ha nincs megadva érték a OperationTimeout tulajdonsághoz, a OpenTimeout tulajdonságot vagy a SendTimeout tulajdonságot (vagy mindkettőt) olyan értékre kell állítani, amely elég nagy ahhoz, hogy belefoglalja az összes kibocsátott jogkivonat lekéréséhez szükséges időt.
Jogkivonat élettartama és megújítása
A WCF-ügyfelek nem ellenőrzik a kibocsátott jogkivonatot, amikor kezdeti kérést intéznek egy szolgáltatáshoz. A WCF inkább megbízik a biztonsági jogkivonat-szolgáltatásban, hogy a megfelelő érvényes és lejárati idővel rendelkező jogkivonatot állít ki. Ha a jogkivonatot az ügyfél gyorsítótárazza és újra felhasználja, a rendszer ellenőrzi a jogkivonat élettartamát a későbbi kéréseken, és szükség esetén az ügyfél automatikusan megújítja a jogkivonatot. A jogkivonatok gyorsítótárazásával kapcsolatos további információkért lásd : Összevont ügyfél létrehozása.
A rövid élettartamok megadása a kibocsátott jogkivonatok vagy a biztonsági környezet jogkivonatai esetében legfeljebb 30 másodperces sorrendben azt eredményezheti, hogy a WCF-ügyfelek időtúllépéseket vagy más kivételeket okoznak a WCF-ügyfelek számára a kibocsátott jogkivonatok kérése vagy a biztonsági környezet jogkivonatainak egyeztetése vagy megújítása során.
Kibocsátott jogkivonatok és InclusionMode
Az osztály tulajdonságának SecurityTokenParameters beállításával InclusionMode szabályozható, hogy egy kibocsátott jogkivonat szerializálva van-e egy ügyféltől egy összevont végpontra küldött üzenetben. Ez a tulajdonság beállítható az SecurityTokenInclusionMode enumerálási értékek egyikére, de a legtöbb összevont forgatókönyvben nem hasznos. SecurityTokenInclusionMode.AlwaysToInitiator Az SecurityTokenInclusionMode.Never és az értékek miatt az ügyfél a biztonsági jogkivonat-szolgáltatás által kiadott jogkivonatra mutató hivatkozást küld a függő entitásnak. Ha a függő entitás nem rendelkezik a kibocsátott jogkivonat másolatával, a hitelesítés sikertelen lesz, mert a jogkivonat-hivatkozás nem oldható fel. A WCF a SecurityTokenInclusionMode.OnceSecurityTokenInclusionMode.AlwaysToRecipient.