<issuedTokenAuthentication> di <serviceCredentials>
Specifica un token personalizzato emesso come credenziale del servizio.
Gerarchia dello schema
<system.serviceModel>
<comportamenti>
<comportamentiServizio>
<behavior> di <serviceBehaviors>
<credenzialiServizio>
<issuedTokenAuthentication> di <serviceCredentials>
Sintassi
<issuedTokenAuthentication
allowUntrustedRsaIssuers="Boolean"
audienceUriMode="Always/BearerKeyOnly/Never"
customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
samlSerializer="String"
trustedStoreLocation="CurrentUser/LocalMachine">
<allowedAudienceUris>
<add allowedAudienceUri="String"/>
</allowedAudienceUris>
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>
</issuedTokenAuthentication>
Attributi ed elementi
Nelle sezioni seguenti vengono descritti attributi, elementi figlio ed elementi padre.
Attributi
| Attributo | Descrizione |
|---|---|
allowedAudienceUris |
Ottiene il set di URI di destinazione a cui il token di sicurezza SamlSecurityToken può essere destinato affinché sia considerato valido dall'istanza di un oggetto SamlSecurityTokenAuthenticator. Per ulteriori informazioni sull'utilizzo di questo attributo, vedere AllowedAudienceUris. |
allowUntrustedRsaIssuers |
Valore booleano che specifica se sono consentiti emittenti di certificati RSA non attendibili. I certificati sono firmati dalle Autorità di certificazione (CA) per verificarne l'autenticità. Un emittente non attendibile è un'autorità di certificazione che non è specificata come attendibile per la firma di certificati. |
audienceUriMode |
Ottiene un valore che specifica se occorre convalidare la condizione SamlAudienceRestrictionCondition del token di sicurezza SamlSecurityToken. Questo valore è di tipo AudienceUriMode. Per ulteriori informazioni sull'utilizzo di questo attributo, vedere AudienceUriMode. |
certificateValidationMode |
Imposta la modalità di convalida dei certificati. Uno dei valori validi di X509CertificateValidationMode. Se impostato su Custom, è necessario fornire anche un customCertificateValidator. Il valore predefinito è ChainTrust. |
customCertificateValidatorType |
Stringa facoltativa. Un tipo e un assembly utilizzati per convalidare un tipo personalizzato. Questo attributo deve essere impostato quando certificateValidationMode è impostato su Custom. |
revocationMode |
Imposta la modalità di revoca che specifica se viene eseguito un controllo di revoca e se viene eseguito in linea o non in linea. L'attributo è di tipo X509RevocationMode. |
samlSerializer |
Attributo stringa facoltativo che specifica il tipo di serializzatore SamlSerializer utilizzato per la credenziale del servizio. Il valore predefinito è una stringa vuota. |
trustedStoreLocation |
Enumerazione facoltativa. Uno di due percorsi per l'archivio di sistema: LocalMachine o CurrentUser. |
Elementi figlio
| Elemento | Descrizione |
|---|---|
knownCertificates |
Specifica una raccolta di elementi X509CertificateTrustedIssuerElement che specificano emittenti attendibili per la credenziale del servizio. |
Elementi padre
| Elemento | Descrizione |
|---|---|
Specifica la credenziale da utilizzare nell'autenticazione del servizio e le impostazioni relative alla convalida delle credenziali client. |
Osservazioni
L'emissione di un token di autenticazione prevede tre fasi. Nella prima fase, un client che tenta di accedere a un servizio viene reindirizzato a un servizio token di sicurezza. Nella seconda fase, il servizio token di sicurezza autentica il client e quindi rilascia a quest'ultimo un token, in genere un token SAML (Security Assertions Markup Language), che il client restituisce in seguito al servizio. Nella terza fase, il servizio ricerca nel token appena ricevuto i dati da utilizzare per autenticare il token stesso e, pertanto, il client. Affinché il token venga autenticato è necessario che il servizio riconosca il certificato utilizzato dal servizio token di sicurezza.
Questo elemento rappresenta il repository dei certificati utilizzati dal servizio token di sicurezza. Per aggiungere certificati, utilizzare l'<certificatiNoti>. Inserire un <add> di <knownCertificates> per ogni certificato, come illustrato nell'esempio seguente.
<issuedTokenAuthorization>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine" storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
Per impostazione predefinita, i certificati devono essere ottenuti da un servizio token di sicurezza. Questi certificati "riconosciuti" garantiscono che solo i client autorizzati siano in grado di accedere a un determinato servizio.
Per ulteriori informazioni sull'utilizzo di questo elemento di configurazione, vedere How To: Configure Credentials on a Federation Service.
Vedere anche
Riferimento
SamlSecurityTokenAuthenticator
AllowedAudienceUris
AudienceUriMode
IssuedTokenAuthentication
IssuedTokenServiceElement
IssuedTokenAuthentication
IssuedTokenServiceCredential
Altre risorse
Securing Services and Clients
How To: Configure Credentials on a Federation Service