Практическое руководство. Создание федеративного клиента
В Windows Communication Foundation (WCF) создание клиента для федеративной службы состоит из трех основных этапов:
Настройте настраиваемую привязку <wsFederationHttpBinding> или аналогичную пользовательскую привязку. Дополнительные сведения о создании соответствующей привязки см. в статье "Практическое руководство. Создание WSFederationHttpBinding". Кроме того, запустите средство служебной программы метаданных ServiceModel (Svcutil.exe) для конечной точки метаданных федеративной службы, чтобы создать файл конфигурации для взаимодействия с федеративной службой и одной или несколькими службами маркеров безопасности.
Задайте свойства IssuedTokenClientCredential, управляющие различными аспектами взаимодействия клиента со службой маркеров безопасности.
Задайте свойства X509CertificateRecipientClientCredential, разрешающие сертификаты, необходимые для безопасного обмена данными с определенными конечными точками, такими как служба маркеров безопасности.
Примечание.
Исключение CryptographicException может возникнуть, если клиент использует олицетворенные учетные данные, привязку WSFederationHttpBinding или выданный пользовательский маркер и асимметричные ключи. Асимметричные ключи используются с привязкой WSFederationHttpBinding и выданными пользовательскими маркерами, если для свойств IssuedKeyType и KeyType соответственно задано значение AsymmetricKey. Исключение CryptographicException возникает, когда клиент пытается отправить сообщение, а для идентификации, которую олицетворяет клиент, отсутствует профиль пользователя. Чтобы подавить эту проблему, перед отправкой сообщения войдите в систему на клиентском компьютере или вызовите метод LoadUserProfile
.
В этом разделе приведены подробные сведения об этих процедурах. Дополнительные сведения о создании соответствующей привязки см. в статье "Практическое руководство. Создание WSFederationHttpBinding". Дополнительные сведения о том, как работает федеративная служба, см. в статье "Федерация".
Создание и проверка конфигурации для федеративной службы
Запустите средство служебной программы метаданных ServiceModel (Svcutil.exe) с адресом URL-адреса метаданных службы в качестве параметра командной строки.
Откройте созданный файл конфигурации в подходящем редакторе.
Проверьте атрибуты и содержимое всех созданных <издателей> и <элементов issuerMetadata> . Они находятся в элементах безопасности для элементов безопасности> для <элементов wsFederationHttpBinding> или пользовательских привязок.< Убедитесь, что адреса содержат ожидаемые имена доменов или другую адресную информацию. Важно проверить эту информацию, так как клиент проверяет свою подлинность по этим адресам, и возможно раскрытие такой информации, как пары "имя пользователя-пароль". Если адреса отличаются от ожидаемых, это может привести к передаче информации неправильному получателю.
Проверьте все дополнительные <выданные элементыTokenParameters> внутри закомментированного элемента.
<alternativeIssuedTokenParameters>
Если при использовании средства Svcutil.exe для создания конфигурации для федеративной службы эта федеративная служба или любая промежуточная служба маркеров безопасности указывает не адрес издателя, а адрес метаданных для службы маркеров безопасности с несколькими конечными точками, получающийся файл конфигурации ссылается на первую конечную точку. Дополнительные конечные точки находятся в файле конфигурации в виде закомментированных<alternativeIssuedTokenParameters>
элементов.Определите, предпочтительнее ли одно из них
<issuedTokenParameters>
уже присутствует в конфигурации. Например, клиент может предпочесть пройти проверку подлинности в службе маркеров безопасности с помощью маркера Windows CardSpace, а не пары имени пользователя или пароля.Примечание.
Если перед началом взаимодействия со службой необходимо пройти через несколько служб маркеров безопасности, промежуточная служба маркеров безопасности может направить клиента в неправильную службу маркеров безопасности. Поэтому убедитесь, что конечная точка для службы маркеров безопасности в <выданныхTokenParameters> является ожидаемой службой маркеров безопасности, а не неизвестной службой маркеров безопасности.
Настройка IssuedTokenClientCredential в коде
Получите доступ к IssuedTokenClientCredential через свойство IssuedToken класса ClientCredentials (возвращается свойством ClientCredentials класса ClientBase<TChannel> или через класс ChannelFactory), как показано в следующем примере кода.
IssuedTokenClientCredential itcc = client.ClientCredentials.IssuedToken;
Dim itcc As IssuedTokenClientCredential = client.ClientCredentials.IssuedToken
Если кэширование маркера не требуется, установите для свойства CacheIssuedTokens значение
false
. Свойство CacheIssuedTokens определяет, будут ли кэшироваться такие маркеры, полученные от службы маркеров безопасности. Если для этого свойства задано значениеfalse
, клиент запрашивает новый маркер у службы маркеров безопасности каждый раз, когда ему требуется заново подтвердить свою подлинность в федеративной службе, независимо от того, действует ли еще предыдущий маркер. Если для этого свойства задано значениеtrue
, клиент повторно использует существующий маркер, когда ему требуется заново подтвердить свою подлинность в федеративной службе (до тех пор, пока не истечет срок действия этого маркера). Значение по умолчанию —true
.Если для кэшированных маркеров требуется ограничение по времени, задайте для свойства MaxIssuedTokenCachingTime значение TimeSpan. Это свойство указывает, как долго маркер может оставаться в кэше. По истечении указанного времени маркер удаляется из кэша клиента. По умолчанию время нахождения маркеров в кэше не ограничено. В следующем примере задается промежуток времени 10 минут.
itcc.MaxIssuedTokenCachingTime = new TimeSpan(0, 10, 0);
itcc.MaxIssuedTokenCachingTime = New TimeSpan(0, 10, 0)
Необязательно. Задайте для IssuedTokenRenewalThresholdPercentage значение в процентах. По умолчанию используется значение 60 процентов. Это свойство задается в процентах от срока действия маркера. Например, если срок действия выданного маркера составляет 10 часов, и для параметра IssuedTokenRenewalThresholdPercentage задано значение 80, маркер обновляется через 8 часов. В следующем примере задается значение 80 процентов.
itcc.IssuedTokenRenewalThresholdPercentage = 80;
itcc.IssuedTokenRenewalThresholdPercentage = 80
Интервал обновления, заданный сроком действия маркера и значением
IssuedTokenRenewalThresholdPercentage
, заменяется значениемMaxIssuedTokenCachingTime
, если время кэширования меньше порогового времени обновления. Например, если произведениеIssuedTokenRenewalThresholdPercentage
и срока действия маркера равно восьми часам, а значениеMaxIssuedTokenCachingTime
равно 10 минутам, клиент обращается в службу маркеров безопасности за обновленным маркером каждые 10 минут.Если режим энтропии ключа, отличный CombinedEntropy от необходимого для привязки, которая не использует безопасность сообщений или безопасность транспорта с учетными данными сообщения (например, привязка не имеет SecurityBindingElement), задайте DefaultKeyEntropyMode для свойства соответствующее значение. Режим энтропии определяет, можно ли управлять симметричными ключами с помощью DefaultKeyEntropyMode свойства. По умолчанию используется значение CombinedEntropy, когда и клиент, и издатель маркера предоставляют данные, совместно используемые для создания фактического ключа. Также предусмотрены значения ClientEntropy и ServerEntropy, которые означают, что весь ключ задается клиентом или сервером соответственно. В следующем примере свойству задается значение, означающее, что для ключа используются только данные сервера.
itcc.DefaultKeyEntropyMode = SecurityKeyEntropyMode.ServerEntropy;
itcc.DefaultKeyEntropyMode = SecurityKeyEntropyMode.ServerEntropy
Примечание.
Если в привязке службы маркеров безопасности или службы присутствует элемент SecurityBindingElement, параметр DefaultKeyEntropyMode со значением IssuedTokenClientCredential переопределяется свойством KeyEntropyMode элемента
SecurityBindingElement
.Настройте все поведения конечных точек, специфичных для издателя, добавив эти поведения в коллекцию, возвращаемую свойством IssuerChannelBehaviors.
itcc.LocalIssuerChannelBehaviors.Add(myEndpointBehavior);
itcc.LocalIssuerChannelBehaviors.Add(myEndpointBehavior)
Настройка IssuedTokenClientCredential в конфигурации
Создайте выданный элементToken в качестве дочернего <элемента выданного ЭлементаToken>> в поведении конечной точки.<
Если кэширование маркеров не требуется, задайте
cacheIssuedTokens
для атрибута<issuedToken>
(элемента) значениеfalse
.Если для кэшированных маркеров требуется ограничение времени, задайте
maxIssuedTokenCachingTime
атрибут элемента<issuedToken>
соответствующим значением. Например:<issuedToken maxIssuedTokenCachingTime='00:10:00' />
Если значение, отличное от значения по умолчанию,
issuedTokenRenewalThresholdPercentage
задайте атрибут для<issuedToken>
элемента соответствующим значением, например:<issuedToken issuedTokenRenewalThresholdPercentage = "80" />
Если для привязки, не использующей безопасность сообщений или безопасность транспорта с учетными данными сообщения (например, в привязке отсутствует элемент
CombinedEntropy
), требуется режим энтропии ключа, отличный отSecurityBindingElement
, задайте для атрибутаdefaultKeyEntropyMode
элемента<issuedToken>
требуемое значениеServerEntropy
илиClientEntropy
.<issuedToken defaultKeyEntropyMode = "ServerEntropy" />
Необязательно. Настройте любое поведение настраиваемой конечной точки для конкретного издателя, создав
<issuerChannelBehaviors>
элемент в качестве дочернего<issuedToken>
элемента. Для каждого поведения создайте<add>
элемент в качестве дочернего<issuerChannelBehaviors>
элемента элемента. Укажите адрес издателя поведения, задавissuerAddress
атрибут в элементе<add>
. Укажите само поведение, задавbehaviorConfiguration
атрибут для<add>
элемента.<issuerChannelBehaviors> <add issuerAddress="http://fabrikam.org/sts" behaviorConfiguration="FabrikamSTS" /> </issuerChannelBehaviors>
Настройка X509CertificateRecipientClientCredential в коде
Обратитесь к X509CertificateRecipientClientCredential через свойство ServiceCertificate свойства ClientCredentials класса ClientBase<TChannel> или свойство ChannelFactory.
X509CertificateRecipientClientCredential rcc = client.ClientCredentials.ServiceCertificate;
Dim rcc As X509CertificateRecipientClientCredential = _ client.ClientCredentials.ServiceCertificate
Если для сертификата для определенной конечной точки имеется экземпляр X509Certificate2, используйте метод Add коллекции, возвращаемой свойством ScopedCertificates.
rcc.ScopedCertificates.Add(new Uri("http://fabrikam.com/sts"), cert);
rcc.ScopedCertificates.Add(New Uri("http://fabrikam.com/sts"), cert)
Если экземпляр X509Certificate2 отсутствует, используйте метод SetScopedCertificate класса X509CertificateRecipientClientCredential, как показано в следующем примере.
public void snippet20(CalculatorClient client) { X509CertificateRecipientClientCredential rcc = client.ClientCredentials.ServiceCertificate; rcc.SetScopedCertificate(StoreLocation.CurrentUser, StoreName.TrustedPeople, X509FindType.FindBySubjectName, "FabrikamSTS", new Uri("http://fabrikam.com/sts")); }
rcc.SetScopedCertificate(StoreLocation.CurrentUser, _ StoreName.TrustedPeople, _ X509FindType.FindBySubjectName, _ "FabrikamSTS", _ New Uri("http://fabrikam.com/sts"))
Настройка X509CertificateRecipientClientCredential в конфигурации
Создайте элемент scopedCertificates> в качестве дочернего <элемента serviceCertificate>, который является дочерним <элементом элемента clientCredentials> в поведении конечной точки.<
Создайте элемент
<add>
, являющийся дочерним для элемента<scopedCertificates>
. Задайте значения атрибутовstoreLocation
,storeName
,x509FindType
иfindValue
, указывающие на соответствующий сертификат. Задайте для атрибутаtargetUri
значение, предоставляющее адрес конечной точки, для которой предназначен сертификат, как показано в следующем примере.<scopedCertificates> <add targetUri="http://fabrikam.com/sts" storeLocation="CurrentUser" storeName="TrustedPeople" x509FindType="FindBySubjectName" findValue="FabrikamSTS" /> </scopedCertificates>
Пример
В следующем примере кода экземпляр класса IssuedTokenClientCredential настраивается в коде.
// This method configures the IssuedToken property of the Credentials property of a proxy/channel factory
public static void ConfigureIssuedTokenClientCredentials(ChannelFactory cf, bool cacheTokens,
TimeSpan tokenCacheTime, int renewalPercentage,
SecurityKeyEntropyMode entropyMode
)
{
if (cf == null)
{
throw new ArgumentNullException("cf");
}
// Set the CacheIssuedTokens property
cf.Credentials.IssuedToken.CacheIssuedTokens = cacheTokens;
// Set the MaxIssuedTokenCachingTime property
cf.Credentials.IssuedToken.MaxIssuedTokenCachingTime = tokenCacheTime;
// Set the IssuedTokenRenewalThresholdPercentage property
cf.Credentials.IssuedToken.IssuedTokenRenewalThresholdPercentage = renewalPercentage;
// Set the DefaultKeyEntropyMode property
cf.Credentials.IssuedToken.DefaultKeyEntropyMode = entropyMode;
}
' This method configures the IssuedToken property of the Credentials property of a proxy/channel factory
Public Shared Sub ConfigureIssuedTokenClientCredentials(ByVal cf As ChannelFactory, _
ByVal cacheTokens As Boolean, _
ByVal tokenCacheTime As TimeSpan, _
ByVal renewalPercentage As Integer, _
ByVal entropyMode As SecurityKeyEntropyMode)
If cf Is Nothing Then
Throw New ArgumentNullException("ChannelFactory")
End If
' Set the CacheIssuedTokens property
With cf.Credentials.IssuedToken
.CacheIssuedTokens = cacheTokens
' Set the MaxIssuedTokenCachingTime property
.MaxIssuedTokenCachingTime = tokenCacheTime
' Set the IssuedTokenRenewalThresholdPercentage property
.IssuedTokenRenewalThresholdPercentage = renewalPercentage
' Set the DefaultKeyEntropyMode property
.DefaultKeyEntropyMode = entropyMode
End With
End Sub
Безопасность .NET Framework
Для исключения возможного раскрытия информации клиенты, запускающие средство Svcutil.exe для обработки метаданных от федеральных конечных точек, должны проверять, что получающиеся адреса служб маркеров безопасности соответствуют ожидаемым. Это особенно важно, если служба маркеров безопасности предоставляет несколько конечных точек, так как средство Svcutil.exe задает в создаваемом файле конфигурации первую такую конечную точку, которая может отличаться от конечной точки, которую должен использовать клиент.
Требуется LocalIssuer
Если требуется, чтобы клиенты всегда использовали локального издателя, обратите внимание на следующее: выходные данные средства Svcutil.exe по умолчанию задают, что локальный издатель не используется, если в предпоследней службе маркеров безопасности в цепочке указан адрес издателя или адрес метаданных издателя.
Дополнительные сведения о настройке LocalIssuerAddressи LocalIssuerBindingLocalIssuerChannelBehaviors свойствах класса см. в статье "Практическое руководство. Настройка локального IssuedTokenClientCredential издателя".
Сертификаты с областью действия
Если требуется задать сертификаты службы для взаимодействия с любыми службами маркеров безопасности (обычно в связи с тем, что не используется согласование сертификатов), их можно задать с помощью свойства ScopedCertificates класса X509CertificateRecipientClientCredential. Метод SetDefaultCertificate принимает в качестве параметров Uri и X509Certificate2. Указанный сертификат используется при взаимодействии с конечными точками по указанному универсальному коду ресурса (URI). В качестве альтернативы можно с помощью метода SetScopedCertificate добавить сертификат в коллекцию, возвращаемую свойством ScopedCertificates.
Примечание.
Концепция сертификатов клиента, область действия которых ограничена только определенным универсальным кодом ресурса (URI), применима только к приложениям, производящим исходящие вызовы служб, предоставляющих конечные точки по этим универсальным кодам ресурса (URI). Он не применяется к сертификатам, которые используются для подписывания выданных маркеров, таких как настроенные на сервере в коллекции, возвращаемой классом KnownCertificates IssuedTokenServiceCredential . Дополнительные сведения см. в разделе "Практическое руководство. Настройка учетных данных в службе федерации".
См. также
- Пример федерации
- Практическое руководство. Порядок отключения безопасных сеансов в WSFederationHttpBinding
- Практическое руководство. Создание WSFederationHttpBinding
- Практическое руководство. Настройка учетных данных службы федерации
- Практическое руководство. Настройка локального издателя
- Вопросы безопасности при использовании метаданных
- Практическое руководство. Защита конечных точек метаданных