Mapping dei metadati
Il contenuto di un documento di metadati viene mappato all'API dei metadati nei modi descritti nelle sezioni seguenti.
In questa documentazione vengono usati i prefissi dello spazio dei nomi seguenti:
wsdl => http://schemas.xmlsoap.org/wsdl/
soap11 => http://schemas.xmlsoap.org/wsdl/soap/
soap12 => http://schemas.xmlsoap.org/wsdl/soap12/
wsa09 => http://schemas.xmlsoap.org/ws/2004/08/addressing
wsa10 => http://www.w3.org/2005/08/addressing
wsa09p => http://schemas.xmlsoap.org/ws/2004/08/addressing/policy
wsa10p => http://www.w3.org/2006/05/addressing/wsdl
binp => http://schemas.microsoft.com/ws/06/2004/mspolicy/netbinary1
mtomp => http://schemas.xmlsoap.org/ws/2004/09/policy/optimizedmimeserialization
sp => http://schemas.xmlsoap.org/ws/2005/07/securitypolicy
wsp => http://schemas.xmlsoap.org/ws/2004/09/policy
netf => http://schemas.microsoft.com/ws/2006/05/framing/policy
httpp => http://schemas.microsoft.com/ws/06/2004/policy/http
wst10 => http://schemas.xmlsoap.org/ws/2005/02/trust
wsi => http://schemas.xmlsoap.org/ws/2005/05/identity
Le sezioni successive descrivono i costrutti API insieme ai costrutti di metadati (WSDL o Policy) a cui corrispondono.
La familiarità con le specifiche dei metadati, ad esempio WSDL e Criteri, consente di comprendere questa sezione.
Indirizzo endpoint
L'indirizzo di un endpoint (vedere WS_ENDPOINT_ADDRESS) viene ottenuto da un elemento di estendibilità all'interno dell'elemento wsdl:port del documento WSDL. Per specificare l'indirizzo sono supportati gli elementi di estendibilità seguenti:
<wsdl:port...>
<soap11:address.../>
</wsdl:port>
<wsdl:port...>
<soap12:address.../>
</wsdl:port>
<wsdl:port...>
<wsa09:EndpointReference.../>
</wsdl:port>
<wsdl:port...>
<wsa10:EndpointReference.../>
</wsdl:port>
WS_CHANNEL_BINDING
L'associazione di canale (vedere WS_CHANNEL_BINDING) è determinata dal trasporto dell'associazione soap utilizzata, come indicato di seguito:
<soap:binding transport="http://schemas.microsoft.com/soap/tcp"/> => WS_TCP_CHANNEL_BINDING
<soap:binding transport="http://schemas.xmlsoap.org/soap/http"/> => WS_HTTP_CHANNEL_BINDING
WS_CHANNEL_PROPERTY_ENVELOPE_VERSION
La versione della busta (vedere WS_CHANNEL_PROPERTY_ENVELOPE_VERSION) è determinata dall'associazione soap utilizzata, come indicato di seguito:
<wsdl:binding...>
<soap11:binding.../> => WS_ENVELOPE_VERSION_SOAP_1_1
</wsdl:binding>
<wsdl:binding...>
<soap12:binding.../> => WS_ENVELOPE_VERSION_SOAP_1_2
</wsdl:binding>
Indirizzamento della versione
La versione di indirizzamento (vedere WS_CHANNEL_PROPERTY_ADDRESSING_VERSION) è determinata dalle asserzioni seguenti nei criteri dell'endpoint:
<wsp:Policy...>
<wsa09p:UsingAddressing.../> => WS_ADDRESSING_VERSION_0_9
</wsp:Policy>
<wsp:Policy...>
<wsa10p:UsingAddressing.../> => WS_ADDRESSING_VERSION_1_0
</wsp:Policy>
Se non è presente un'asserzione di indirizzamento, si presuppone WS_ADDRESSING_VERSION_TRANSPORT .
Codifica dei messaggi
La codifica del messaggio (vedere WS_CHANNEL_PROPERTY_ENCODING) è determinata dalle asserzioni seguenti nei criteri dell'endpoint:
<wsp:Policy...>
<binp:BinaryEncoding.../> => WS_ENCODING_XML_BINARY_SESSION_1, WS_ENCODING_XML_BINARY_1
</wsp:Policy>
Si noti che l'asserzione dei criteri di codifica binaria non include informazioni sul fatto che la codifica binaria sia con sessione o senza sessione. Ciò è determinato dal vincolo della proprietà di codifica (che deve essere appropriato in base al fatto che il WS_CHANNEL_TYPE usato sia con sessione o meno).
<wsp:Policy...>
<mtomp:OptimizedMimeSerialization.../> => WS_ENCODING_XML_MTOM_UTF8, WS_ENCODING_XML_MTOM_UTF16LE, WS_ENCODING_XML_MTOM_UTF16BE
</wsp:Policy>
Se nessuna delle asserzioni precedenti è presente, viene usata una codifica di testo: WS_ENCODING_XML_UTF8, WS_ENCODING_XML_UTF16LEWS_ENCODING_XML_UTF16BE.
Si noti che i criteri non includono informazioni sul set di caratteri per le codifiche MTOM o di testo (sia UTF8, UTF16LE o UTF16BE). Il valore effettivo del set di caratteri utilizzato è determinato dal vincolo della proprietà di codifica.
Vincoli con l'autenticazione dell'intestazione HTTP
Questa sezione si applica quando viene specificato il vincolo di associazione di sicurezza WS_HTTP_HEADER_AUTH_SECURITY_BINDING_CONSTRAINT .
Questa associazione di sicurezza è indicata nei criteri da asserzioni diverse che indicano che deve essere usata l'autenticazione dell'intestazione HTTP e che deve essere usato uno schema di autenticazione specifico. Le asserzioni di criteri corrispondono ai valori del WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_SCHEME come indicato di seguito:
<wsp:Policy...>
<httpp:BasicAuthentication.../> => WS_HTTP_HEADER_AUTH_SCHEME_BASIC
</wsp:Policy>
<wsp:Policy...>
<httpp:NegotiateAuthentication.../> => WS_HTTP_HEADER_AUTH_SCHEME_NEGOTIATE
</wsp:Policy>
<wsp:Policy...>
<httpp:NtlmAuthentication.../> => WS_HTTP_HEADER_AUTH_SCHEME_NTLM
</wsp:Policy>
<wsp:Policy...>
<httpp:DigestAuthentication.../> => WS_HTTP_HEADER_AUTH_SCHEME_DIGEST
</wsp:Policy>
Vincoli con sicurezza del trasporto SLL
Questa sezione si applica quando viene specificato il vincolo di associazione di sicurezza WS_SSL_TRANSPORT_SECURITY_BINDING_CONSTRAINT . In questo caso vengono usate le asserzioni di criteri seguenti:
<wsp:Policy...>
<sp:TransportBinding...>
<wsp:Policy...>
<sp:TransportToken...>
<wsp:Policy...>
<sp:HttpsToken.../>
</wsp:Policy...>
</wsp:Policy>
</sp:TransportBinding...>
</wsp:Policy>
Vincoli con sicurezza del trasporto SSPI
Questa sezione si applica quando viene specificato il vincolo di associazione di sicurezza WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING_CONSTRAINT . In questo caso vengono usate le asserzioni di criteri seguenti:
<wsp:Policy...>
<sp:TransportBinding...>
<wsp:Policy...>
<sp:TransportToken...>
<wsp:Policy...>
<netf:WindowsTransportSecurity.../>
</wsp:Policy...>
</wsp:Policy>
</sp:TransportBinding...>
</wsp:Policy>
Vincola la sicurezza del trasporto
È possibile specificare il vincolo di proprietà WS_SECURITY_PROPERTY_TRANSPORT_PROTECTION_LEVEL se vengono specificati vincoli di associazione di sicurezza:
WS_SSL_TRANSPORT_SECURITY_BINDING_CONSTRAINT
Il valore dei criteri è sempre WS_PROTECTION_LEVEL_SIGN_AND_ENCRYPT.
WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING_CONSTRAINT
Il valore dei criteri viene specificato come parte dell'asserzione WindowsTransportSecurity, come indicato di seguito:
<netf:WindowsTransportSecurity...>None</netf:WindowsTransportSecurity> => WS_PROTECTION_LEVEL_NONE<netf:WindowsTransportSecurity...>Sign</netf:WindowsTransportSecurity> => WS_PROTECTION_LEVEL_SIGN<netf:WindowsTransportSecurity...>EncryptAndSign</netf:WindowsTransportSecurity> => WS_PROTECTION_LEVEL_SIGN_AND_ENCRYPTWS_HTTP_HEADER_AUTH_SECURITY_BINDING_CONSTRAINT
Il valore dei criteri è sempre WS_PROTECTION_LEVEL_NONE.
Vincoli con l'associazione di sicurezza APREQ Kerberos
Questa sezione si applica quando viene specificato il vincolo di associazione di sicurezza WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING_CONSTRAINT . In questo caso vengono usate le asserzioni di criteri seguenti:
<sp:EndorsingSupportingTokens...>
<wsp:Policy>
<sp:KerberosToken>
<WssGssKerberosV5ApReqToken11.../>
</sp:KerberosToken>
</wsp:Policy>
</sp:EndorsingSupportingTokens>
Vincoli con associazione di sicurezza dei messaggi
Questa sezione si applica quando viene specificato il vincolo di associazione di sicurezza WS_USERNAME_MESSAGE_SECURITY_BINDING_CONSTRAINT . In questo caso vengono usate le asserzioni di criteri seguenti:
<sp:SignedSupportingTokens>
<wsp:Policy>
<sp:UsernameToken.../>
</wsp:Policy>
</sp:SignedSupportingTokens>
WS_CERT_MESSAGE_SECURITY_BINDING_CONSTRAINT
Questa sezione si applica quando viene specificato il vincolo di associazione di sicurezza WS_CERT_MESSAGE_SECURITY_BINDING_CONSTRAINT . In questo caso vengono usate le asserzioni di criteri seguenti:
<sp:EndorsingSupportingTokens>
<wsp:Policy>
<sp:X509Token.../>
</wsp:Policy>
</sp:EndorsingSupportingTokens>
WS_ISSUED_TOKEN_MESSAGE_SECURITY_BINDING_CONSTRAINT
Questa sezione si applica quando viene specificato il vincolo di associazione di sicurezza WS_ISSUED_TOKEN_MESSAGE_SECURITY_BINDING_CONSTRAINT . In questo caso vengono usate le asserzioni di criteri seguenti:
<sp:EndorsingSupportingTokens...>
<wsp:Policy>
<sp:IssuedToken sp:IncludeToken="xs:anyURI"? ...="" >
<wsp:Issuer>...</wsp:Issuer>?
<wsp:RequestSecurityTokenTemplate TrustVersion='xs:anyURI"?>
...
<wst10:Claims>
<wsi:ClaimType Optional='xs:boolean'?>xs:anyURI<wt:ClaimType>*
</wst10:Claims>
...
</wsp:RequestSecurityTokenTemplate>
<wsp:Policy>
<sp:RequireDerivedKeys/> ?
<sp:RequireExternalReference/> ?
<sp:RequireInternalReference/> ?
</wsp:Policy> ?
</sp:IssuedToken>
</wsp:Policy>
</sp:EndorsingSupportingTokens>
Di seguito viene descritto il mapping dei campi del WS_ISSUED_TOKEN_MESSAGE_SECURITY_BINDING_CONSTRAINT ai criteri precedenti:
Il campo claimConstraints viene usato per verificare il set di URI del tipo di attestazione visualizzati nell'elemento wsi:ClaimType precedente.
Il campo issuerAddress corrisponde all'elemento wsp:Issuer precedente, ovvero il WS_ENDPOINT_ADDRESS del servizio che può rilasciare il token.
Il campo requestSecurityTokenTemplate corrisponde agli elementi figlio dell'elemento wsp:RequestSecurityTokenTemplate.
WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING_CONSTRAINT
Questa sezione si applica quando viene specificato il vincolo di associazione di sicurezza WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING_CONSTRAINT . In questo caso vengono usate le asserzioni di criteri seguenti:
<sp:EndorsingSupportingTokens...>
<wsp:Policy>
<sp:SecureConversationToken sp:IncludeToken="xs:anyURI"? ...="" >
<wsp:Issuer>...</wsp:Issuer>?
<wsp:Policy>
<sp:RequireDerivedKeys.../>?
<sp:RequireExternalUriReference.../>?
<sp:SC10SecurityContextToken.../>? => WS_SECURE_CONVERSATION_VERSION_FEBRUARY_2005
<sp:BootstrapPolicy... >?
<wsp:Policy> ... </wsp:Policy> => WS_SECURITY_CONSTRAINTS
</sp:BootstrapPolicy>
</wsp:Policy>
</wsp:SecureConversationToken>
</wsp:Policy>
</sp:EndorsingSupportingTokens>
La modalità entropia è determinata dall'asserzione <sp:Trust10> . <sp:RequireClientEntropy/> e <sp:RequireServerEntropy/> =>WS_SECURITY_KEY_ENTROPY_MODE_COMBINED<sp:RequireClientEntropy/> =>WS_SECURITY_KEY_ENTROPY_MODE_CLIENT_ONLY<sp:RequireServerEntropy/> =>WS_SECURITY_KEY_ENTROPY_MODE_SERVER_ONLY
WS_REQUEST_SECURITY_TOKEN_PROPERTY_TRUST_VERSION
Questa sezione si applica quando viene specificato il vincolo di associazione di sicurezza WS_ISSUED_TOKEN_MESSAGE_SECURITY_BINDING_CONSTRAINT . Le asserzioni di criteri seguenti vengono usate per identificare le WS_TRUST_VERSION e le opzioni associate.
<sp:Trust10> => WS_TRUST_VERSION_FEBRUARY_2005
<sp:Policy>
<sp:MustSupportClientChallenge/> ?
<sp:MustSupportServerChallenge/> ?
<sp:RequireClientEntropy/> ?
<sp:RequireServerEntropy/> ?
<sp:MustSupportIssuedTokens/> ?
</sp:Policy>
</sp:Trust10>
È possibile specificare la versione di attendibilità usando il WS_REQUEST_SECURITY_TOKEN_PROPERTY_CONSTRAINT con un ID proprietà di WS_REQUEST_SECURITY_TOKEN_PROPERTY_TRUST_VERSION.
WS_SECURITY_PROPERTY_SECURITY_HEADER_VERSION
Questa sezione si applica quando vengono usati uno dei vincoli di associazione seguenti:
- WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING_CONSTRAINT
- WS_USERNAME_MESSAGE_SECURITY_BINDING_CONSTRAINT
- WS_CERT_MESSAGE_SECURITY_BINDING_CONSTRAINT
- WS_ISSUED_TOKEN_MESSAGE_SECURITY_BINDING_CONSTRAINT
La versione di sicurezza dell'intestazione (come specificato da WS_SECURITY_PROPERTY_SECURITY_HEADER_VERSION) è determinata da una delle asserzioni di criteri seguenti:
<wsp:Wss10> ... </wsp:Wss10> => WS_SECURITY_HEADER_VERSION_1_0
<wsp:Wss11> ... </wsp:Wss11> => WS_SECURITY_HEADER_VERSION_1_1
Vincoli con layout di sicurezza intestazione
Questa sezione si applica quando vengono usati uno dei vincoli di associazione seguenti:
- WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING_CONSTRAINT
- WS_USERNAME_MESSAGE_SECURITY_BINDING_CONSTRAINT
- WS_CERT_MESSAGE_SECURITY_BINDING_CONSTRAINT
- WS_ISSUED_TOKEN_MESSAGE_SECURITY_BINDING_CONSTRAINT
Il layout dell'intestazione di sicurezza (come specificato da WS_SECURITY_PROPERTY_SECURITY_HEADER_LAYOUT) è determinato da una delle asserzioni di criteri seguenti:
<sp:TransportBinding>
<wsp:Policy>
<sp:Layout>
<sp:Lax.../> => WS_SECURITY_HEADER_LAYOUT_LAX
</sp:Layout>
</wsp:Policy>
</sp:TransportBinding>
<sp:TransportBinding>
<wsp:Policy>
<sp:Layout>
<sp:Strict.../> => WS_SECURITY_HEADER_LAYOUT_STRICT
</sp:Layout>
</wsp:Policy>
</sp:TransportBinding>
<sp:TransportBinding>
<wsp:Policy>
<sp:Layout>
<sp:LaxTsFirst.../> => WS_SECURITY_HEADER_LAYOUT_LAX_WITH_TIMESTAMP_FIRST
</sp:Layout>
</wsp:Policy>
</sp:TransportBinding>
<sp:TransportBinding>
<wsp:Policy>
<sp:Layout>
<sp:LaxTsLast.../> => WS_SECURITY_HEADER_LAYOUT_LAX_WITH_TIMESTAMP_LAST
</sp:Layout>
</wsp:Policy>
</sp:TransportBinding>
Vincoli con sicurezza timestamp
Questa sezione si applica quando vengono usati uno dei vincoli di associazione seguenti:
- WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING_CONSTRAINT
- WS_USERNAME_MESSAGE_SECURITY_BINDING_CONSTRAINT
- WS_CERT_MESSAGE_SECURITY_BINDING_CONSTRAINT
- WS_ISSUED_TOKEN_MESSAGE_SECURITY_BINDING_CONSTRAINT
Se un timestamp è incluso nell'intestazione di sicurezza (come specificato da WS_SECURITY_PROPERTY_TIMESTAMP_USAGE) è determinato dalla presenza di sp:IncludeTimestamp nel percorso seguente:
<sp:TransportBinding>
<wsp:Policy>
<sp:IncludeTimestamp.../>
</wsp:Policy>
</sp:TransportBinding>
Se l'asserzione sp:IncludeTimestamp è presente, il valore dei criteri è WS_SECURITY_TIMESTAMP_USAGE_ALWAYS.
Se l'asserzione sp:IncludeTimestamp non è presente, il valore dei criteri è WS_SECURITY_TIMESTAMP_USAGE_NEVER.