<serviceCredentials> の <issuedTokenAuthentication>

  • [アーティクル]

サービス資格情報として発行されるカスタム トークンを指定します。

configuration
  system.serviceModel
    behaviors
      <serviceBehaviors>
        behavior
          <serviceCredentials>
            <issuedTokenAuthentication>

構文

<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
                           audienceUriMode="Always/BearerKeyOnly/Never"
                           customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
                           certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
                           revocationMode="NoCheck/Online/Offline"
                           samlSerializer="String"
                           trustedStoreLocation="CurrentUser/LocalMachine">
  <allowedAudienceUris>
    <add allowedAudienceUri="String" />
  </allowedAudienceUris>
  <knownCertificates>
    <add findValue="String"
         storeLocation="CurrentUser/LocalMachine"
         storeName=" CurrentUser/LocalMachine"
         x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
  </knownCertificates>
</issuedTokenAuthentication>

属性および要素

以降のセクションでは、属性、子要素、および親要素について説明します。

属性

属性 説明
allowedAudienceUris SamlSecurityToken インスタンスにより有効と見なされるように、SamlSecurityTokenAuthenticator セキュリティ トークンのターゲットとなる URI のセットを取得します。 この属性の使い方の詳細については、「AllowedAudienceUris」を参照してください。
allowUntrustedRsaIssuers 信頼できない RSA 証明書の発行者を許可するかどうかを指定するブール値。

証明書は、信頼性を検証する証明機関 (CA) によって署名されます。 信頼できない発行者とは、証明書の署名が信頼できると指定されていない CA です。
audienceUriMode SamlSecurityToken セキュリティ トークンの SamlAudienceRestrictionCondition を検証するかどうかを指定する値を取得します。 この値は、AudienceUriMode 型です。 この属性の使い方の詳細については、「AudienceUriMode」を参照してください。
certificateValidationMode 証明書検証モードを設定します。 X509CertificateValidationMode の有効な値のいずれかです。 Custom に設定されている場合、customCertificateValidator も指定する必要があります。 既定値は、ChainTrust です。
customCertificateValidatorType 省略可能な文字列。 カスタム型の検証に使用される型およびアセンブリです。 certificateValidationModeCustom に設定されている場合は、この属性を設定する必要があります。
revocationMode 失効状態の検証を行うかどうかに加え、検証をオンラインで実行するか、オフラインで実行するかを指定する失効モードを設定します。 この属性は X509RevocationMode 型です。
samlSerializer サービス資格情報に使用される SamlSerializer の型を指定する省略可能な文字列属性。 既定値は空の文字列です。
trustedStoreLocation 省略可能な列挙体です。 2 つのシステム格納場所 (LocalMachine または CurrentUser) のいずれかです。

子要素

要素 説明
knownCertificates サービス資格情報の信頼できる発行者を指定する X509CertificateTrustedIssuerElement 要素のコレクションを指定します。

親要素

要素 説明
<serviceCredentials> サービスの認証に使用される資格情報と、クライアントの資格情報検証関連の設定を指定します。

解説

発行されるトークンのシナリオには、3 つの段階があります。 まず、サービスにアクセスしようとしているクライアントがセキュリティ トークン サービスに参照されます。 次に、セキュリティ トークン サービスがクライアントを認証し、その後、クライアントにトークン (通常は、SAML (Security Assertions Markup Language) トークン) を発行します。 最後に、クライアントがトークンを持ってサービスに戻ります。 サービスはトークンを調べ、トークンを認証することでクライアントの認証を可能にするデータを確認します。 トークンを認証するには、セキュリティ トークン サービスで使用される証明書がサービスによって認識されている必要があります。

この要素は、このようなセキュリティ トークン サービス証明書のリポジトリです。 証明書を追加するには、<knownCertificates> を使用します。 次の例に示すように、証明書ごとに <add> を挿入します。

<issuedTokenAuthentication>
  <knownCertificates>
    <add findValue="www.contoso.com"
         storeLocation="LocalMachine"
         storeName="My"
         X509FindType="FindBySubjectName" />
  </knownCertificates>
</issuedTokenAuthentication>

既定では、証明書はセキュリティ トークン サービスから取得する必要があります。 このような "既知" の証明書により、正当なクライアントのみがサービスにアクセスできるようになります。

この構成要素の使用の詳細については、「方法 : フェデレーション サービスで資格情報を設定する」を参照してください。

関連項目