WS_CERT_SIGNED_SAML_AUTHENTICATOR 结构 (webservices.h)
用于根据预期的颁发者证书数组指定 SAML 令牌验证器的类型。 使用此类型的验证器时,仅当传入 SAML 令牌具有使用任意一个指定的 X.509 证书创建的有效 XML 签名时,才会接受传入 SAML 令牌。 因此,指定的 X.509 证书表示受信任的 SAML 颁发者的“允许列表”。
运行时不会对指定的证书执行吊销或链信任检查:因此,在在此结构中指定证书之前,由应用程序确保证书有效。
如上所述,对收到的 SAML 的验证仅限于确保它由指定的证书之一正确签名。 然后,应用程序可以使用 WsGetMessageProperty 和密钥 WS_MESSAGE_PROPERTY_SAML_ASSERTION 提取 SAML 断言,并执行其他验证程序或处理。
语法
typedef struct _WS_CERT_SIGNED_SAML_AUTHENTICATOR {
WS_SAML_AUTHENTICATOR authenticator;
const _CERT_CONTEXT **trustedIssuerCerts;
#if ...
struct _CERT_CONTEXT;
ULONG trustedIssuerCertCount;
const _CERT_CONTEXT *decryptionCert;
#else
struct _CERT_CONTEXT;
#endif
WS_VALIDATE_SAML_CALLBACK samlValidator;
void *samlValidatorCallbackState;
} WS_CERT_SIGNED_SAML_AUTHENTICATOR;
成员
authenticator
从中派生此类型和所有其他 SAML 验证器类型的基类型。
trustedIssuerCerts
可接受的 SAML 颁发者的数组,由其 X.509 证书标识。 此字段为必需字段。
证书句柄是重复的,副本保留供内部使用。 应用程序继续拥有此处提供的证书句柄,并负责在使用此结构的侦听器创建调用返回后随时释放它们。
_CERT_CONTEXT
trustedIssuerCertCount
trustedIssuerCerts 中指定的 X.509 证书计数。
decryptionCert
用于解密传入 SAML 令牌的证书。
证书句柄重复,副本保留供内部使用。 应用程序继续拥有此处提供的证书句柄,并负责在使用此结构的侦听器创建调用返回后随时释放它。
samlValidator
一个可选回调,使应用程序能够在签名验证通过时对 SAML 断言进行其他验证。
samlValidatorCallbackState
调用 samlValidator 回调时要传递回的状态。
要求
要求 | 值 |
---|---|
最低受支持的客户端 | Windows 7 [仅限桌面应用] |
最低受支持的服务器 | Windows Server 2008 R2 [仅限桌面应用] |
标头 | webservices.h |