Anvisningar: Skapa en WSFederationHttpBinding
I Windows Communication Foundation (WCF) WSFederationHttpBinding tillhandahåller klassen (<wsFederationHttpBinding> i konfigurationen) en mekanism för att exponera en federerad tjänst. Det vill: en tjänst som kräver att klienter autentiserar med hjälp av en säkerhetstoken som utfärdats av en säkerhetstokentjänst. Det här avsnittet visar hur du konfigurerar en WSFederationHttpBinding i både kod och konfiguration. När bindningen har skapats kan du konfigurera en slutpunkt för att använda bindningen.
De grundläggande stegen beskrivs på följande sätt:
Välj ett säkerhetsläge. WSFederationHttpBinding Stöder
Message, som ger säkerhet från slutpunkt till slutpunkt på meddelandenivå, även över flera hopp, ochTransportWithMessageCredential, vilket ger bättre prestanda i fall där klienten och tjänsten kan upprätta en direkt anslutning via HTTPS.Kommentar
Stöder WSFederationHttpBinding även
Nonesom säkerhetsläge. Det här läget är inte säkert och tillhandahålls endast i felsökningssyfte. Om en tjänstslutpunkt distribueras med en WSFederationHttpBinding med dess säkerhetsläge inställt påNone, är den resulterande klientbindningen (genererad av ServiceModel Metadata Utility Tool (Svcutil.exe)) en WSHttpBinding med säkerhetslägetNone.Till skillnad från andra bindningar som tillhandahålls av systemet är det inte nödvändigt att välja en klientautentiseringstyp när du använder
WSFederationHttpBinding. Det beror på att klientautentiseringstypen alltid är en utfärdad token. WCF hämtar en token från en angiven utfärdare och presenterar den token för tjänsten för att autentisera klienten.På federerade klienter anger du IssuerAddress egenskapen till URL:en för säkerhetstokentjänsten. Ange till bindningen IssuerBinding som ska användas för att kommunicera med säkerhetstokentjänsten.
Valfritt. IssuedTokenType Ange egenskapen till URI (Uniform Resource Identifier) för en tokentyp. På federerade tjänster anger du den tokentyp som tjänsten förväntar sig. På federerade klienter anger du tokentypen klientbegäranden från säkerhetstokentjänsten.
Om ingen tokentyp anges genererar klienterna säkerhetstoken för WS-Trust Request (RST) utan en tokentyps-URI, och tjänster förväntar sig klientautentisering med hjälp av en SAML-token (Security Assertions Markup Language) 1.1 som standard.
URI:n för en SAML 1.1-token är
http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1.Valfritt. På federerade tjänster anger du IssuerMetadataAddress egenskapen till metadata-URL:en för en säkerhetstokentjänst. Med metadataslutpunkten kan tjänstens klienter välja ett lämpligt bindnings-/slutpunktspar, om tjänsten är konfigurerad för att publicera metadata. Mer information om hur du publicerar metadata finns i Publicera metadata.
Du kan också ange andra egenskaper, inklusive den typ av nyckel som används som en bevisnyckel i den utfärdade token, algoritmsviten som ska användas mellan klienten och tjänsten, om du vill förhandla om eller uttryckligen ange tjänstens autentiseringsuppgifter, eventuella specifika anspråk som tjänsten förväntar sig att den utfärdade token ska innehålla och eventuella ytterligare XML-element som måste läggas till i begäran som klienten skickar till säkerhetstokentjänsten.
Kommentar
Egenskapen NegotiateServiceCredential är bara relevant när är inställd på SecurityModeMessage. Om SecurityMode är inställt på TransportWithMessageCredentialNegotiateServiceCredential ignoreras egenskapen.
Så här konfigurerar du en WSFederationHttpBinding i kod
Skapa en instans av WSFederationHttpBinding.
Ange egenskapen Mode till WSFederationHttpSecurityMode eller Message efter behov. Om en annan algoritmsvit än Basic256 krävs anger du AlgorithmSuite egenskapen till ett värde som hämtats från SecurityAlgorithmSuite.
Ange egenskapen NegotiateServiceCredential efter behov.
Ange egenskapen IssuedKeyType till SecurityKeyType
SymmetricKeyeller .AsymmetricKeyefter behov.IssuedTokenType Ange egenskapen till lämpligt värde. Om inget värde har angetts är WCF standardvärdet
http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1, vilket anger SAML 1.1-token.Krävs på klienten om ingen lokal utfärdare har angetts. valfritt för tjänsten. Skapa en EndpointAddress som innehåller adress- och identitetsinformation för säkerhetstokentjänsten och tilldela instansen EndpointAddressIssuerAddress till egenskapen.
Krävs på klienten om ingen lokal utfärdare har angetts. används inte i tjänsten. Skapa en Binding för
SecurityTokenServiceoch tilldela instansen Binding till egenskapen IssuerBinding .Används inte på klienten. valfritt för tjänsten. Skapa en EndpointAddress instans för metadata för säkerhetstokentjänsten och tilldela den till
IssuerMetadataAddressegenskapen.Valfritt för både klienten och tjänsten. Skapa och lägg till en eller flera ClaimTypeRequirement instanser i samlingen som returneras av ClaimTypeRequirements egenskapen.
Valfritt för både klienten och tjänsten. Skapa och lägg till en eller flera XmlElement instanser i samlingen som returneras av TokenRequestParameters egenskapen.
Skapa en federerad slutpunkt i konfigurationen
Skapa en wsFederationHttpBinding> som underordnad <bindningselementet i programkonfigurationsfilen>.<
Skapa ett <bindningselement> som underordnat< wsFederationHttpBinding> och ange
nameattributet till ett lämpligt värde.Skapa ett
<security>element som underordnat bindningselement<>.modeAnge attributet för elementet<security>till värdetMessageellerTransportWithMessageCredential, efter behov.Skapa ett
<message>element som underordnat element.<security>Valfritt.
algorithmSuiteAnge attributet för elementet<message>med ett lämpligt värde. Standardvärdet ärBasic256.Valfritt. Om en asymmetrisk bevisnyckel krävs anger du
issuedKeyType-attributet för elementet<message>tillAsymmetricKey. Standardvärdet ärSymmetricKey.Valfritt.
issuedTokenTypeAnge attributet för elementet<message>.Krävs på klienten om ingen lokal utfärdare har angetts. valfritt för tjänsten. Skapa ett
<issuer>element som underordnat element.<message>addressAnge attributet till elementet<issuer>och ange adressen där tjänsten för säkerhetstoken accepterar tokenbegäranden.Valfritt. Lägg till ett underordnat
<identity>element och ange identiteten för säkerhetstokentjänstenMer information finns i Tjänstidentitet och autentisering.
Krävs på klienten om ingen lokal utfärdare har angetts. används inte i tjänsten. Skapa ett <bindningselement> i avsnittet bindningar som kan användas för att kommunicera med säkerhetstokentjänsten. Mer information om hur du skapar en bindning finns i Så här anger du en tjänstbindning i konfigurationen.
Ange bindningen som skapades i föregående steg genom att ange elementets
binding<issuer>attribut ochbindingConfiguration.Används inte på klienten. valfritt för tjänsten. Skapa ett
<issuerMetadata>element som underordnat element.<message> I ettaddressattribut i -elementet<issuerMetadata>anger du sedan adressen där säkerhetstokentjänsten ska publicera sina metadata. Du kan också lägga till ett<identity>underordnat element och ange identiteten för säkerhetstokentjänsten.Valfritt för både klienten och tjänsten. Lägg till ett
<claimTypeRequirements>element som underordnat element.<message>Ange obligatoriska och valfria anspråk som tjänsten förlitar sig på genom att lägga till <>element i elementet<claimTypeRequirements>och ange anspråkstypen medclaimTypeattributet. Ange om ett visst anspråk krävs eller är valfritt genom att ange attributetisOptional.
Exempel
Följande kodexempel visar kod för att konfigurera en WSFederationHttpBinding imperativt.
// This method creates a WSFederationHttpBinding.
public static WSFederationHttpBinding
CreateWSFederationHttpBinding(bool isClient)
{
// Create an instance of the WSFederationHttpBinding.
WSFederationHttpBinding b = new WSFederationHttpBinding();
// Set the security mode to Message.
b.Security.Mode = WSFederationHttpSecurityMode.Message;
// Set the Algorithm Suite to Basic256Rsa15.
b.Security.Message.AlgorithmSuite = SecurityAlgorithmSuite.Basic256Rsa15;
// Set NegotiateServiceCredential to true.
b.Security.Message.NegotiateServiceCredential = true;
// Set IssuedKeyType to Symmetric.
b.Security.Message.IssuedKeyType = SecurityKeyType.SymmetricKey;
// Set IssuedTokenType to SAML 1.1
b.Security.Message.IssuedTokenType =
"http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#samlv1.1";
// Extract the STS certificate from the certificate store.
X509Store store = new X509Store(StoreName.TrustedPeople, StoreLocation.CurrentUser);
store.Open(OpenFlags.ReadOnly);
X509Certificate2Collection certs = store.Certificates.Find(
X509FindType.FindByThumbprint, "0000000000000000000000000000000000000000", false);
store.Close();
// Create an EndpointIdentity from the STS certificate.
EndpointIdentity identity = EndpointIdentity.CreateX509CertificateIdentity ( certs[0] );
// Set the IssuerAddress using the address of the STS and the previously created
// EndpointIdentity.
b.Security.Message.IssuerAddress =
new EndpointAddress(new Uri("http://localhost:8000/sts/x509"), identity);
// Set the IssuerBinding to a WSHttpBinding loaded from configuration.
// The IssuerBinding is only used on federated clients.
if (isClient)
{
b.Security.Message.IssuerBinding = new WSHttpBinding("Issuer");
}
// Set the IssuerMetadataAddress using the metadata address of the STS and the
// previously created EndpointIdentity. The IssuerMetadataAddress is only used
// on federated services.
else
{
b.Security.Message.IssuerMetadataAddress =
new EndpointAddress(new Uri("http://localhost:8001/sts/mex"), identity);
}
// Create a ClaimTypeRequirement.
ClaimTypeRequirement ctr = new ClaimTypeRequirement
("http://example.org/claim/c1", false);
// Add the ClaimTypeRequirement to ClaimTypeRequirements
b.Security.Message.ClaimTypeRequirements.Add(ctr);
// Return the created binding
return b;
}
' This method creates a WSFederationHttpBinding.
Public Shared Function CreateWSFederationHttpBinding(ByVal isClient As Boolean) As WSFederationHttpBinding
' Create an instance of the WSFederationHttpBinding.
Dim b As New WSFederationHttpBinding()
With b.Security
' Set the security mode to Message.
.Mode = WSFederationHttpSecurityMode.Message
With .Message
' Set the Algorithm Suite to Basic256Rsa15.
.AlgorithmSuite = SecurityAlgorithmSuite.Basic256Rsa15
' Set NegotiateServiceCredential to true.
.NegotiateServiceCredential = True
' Set IssuedKeyType to Symmetric.
.IssuedKeyType = SecurityKeyType.SymmetricKey
' Set IssuedTokenType to SAML 1.1
.IssuedTokenType = "http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#samlv1.1"
End With
End With
' Extract the STS certificate from the certificate store.
Dim store As New X509Store(StoreName.TrustedPeople, StoreLocation.CurrentUser)
store.Open(OpenFlags.ReadOnly)
Dim certs = store.Certificates.Find(X509FindType.FindByThumbprint, _
"0000000000000000000000000000000000000000", _
False)
store.Close()
' Create an EndpointIdentity from the STS certificate.
Dim identity = EndpointIdentity.CreateX509CertificateIdentity(certs(0))
' Set the IssuerAddress using the address of the STS and the previously created
' EndpointIdentity.
With b.Security.Message
.IssuerAddress = New EndpointAddress(New Uri("http://localhost:8000/sts/x509"), _
identity)
' Set the IssuerBinding to a WSHttpBinding loaded from configuration.
' The IssuerBinding is only used on federated clients.
If isClient Then
.IssuerBinding = New WSHttpBinding("Issuer")
' Set the IssuerMetadataAddress using the metadata address of the STS and the
' previously created EndpointIdentity. The IssuerMetadataAddress is only used
' on federated services.
Else
.IssuerMetadataAddress = New EndpointAddress(New Uri("http://localhost:8001/sts/mex"), _
identity)
End If
' Create a ClaimTypeRequirement.
Dim ctr As New ClaimTypeRequirement("http://example.org/claim/c1", _
False)
' Add the ClaimTypeRequirement to ClaimTypeRequirements
.ClaimTypeRequirements.Add(ctr)
End With
' Return the created binding
Return b
End Function