<issuedTokenAuthentication> von <serviceCredentials>

Gibt ein als Dienstanmeldeinformationen ausgegebenes Token an.

Schemahierarchie

<<system.serviceModel>>
  <behaviors>
    <serviceBehaviors>
      <behavior> von <serviceBehaviors>
        <serviceCredentials>
          <issuedTokenAuthentication> von <serviceCredentials>

Syntax

<issuedTokenAuthentication 
   allowUntrustedRsaIssuers="Boolean"
   audienceUriMode="Always/BearerKeyOnly/Never"
      customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
   revocationMode="NoCheck/Online/Offline"
   samlSerializer="String"
    trustedStoreLocation="CurrentUser/LocalMachine">
      <allowedAudienceUris>
      <add allowedAudienceUri="String"/>
      </allowedAudienceUris>
      <knownCertificates> 
         <add findValue="String"
                 storeLocation="CurrentUser/LocalMachine"
                storeName=" CurrentUser/LocalMachine"
                x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
      </knownCertificates>
</issuedTokenAuthentication>

Attribute und Elemente

In den folgenden Abschnitten werden Attribute, untergeordnete Elemente und übergeordnete Elemente beschrieben.

Attribute

Attribut Beschreibung

allowedAudienceUris

Ruft den Satz von Ziel-URIs ab, für die das SamlSecurityToken-Sicherheitstoken verwendet werden kann, sodass diese von einer SamlSecurityTokenAuthenticator-Instanz als gültig eingestuft werden. Weitere Informationen zur Verwendung dieses Attributs finden Sie unter AllowedAudienceUris.

allowUntrustedRsaIssuers

Ein boolescher Wert, der angibt, ob nicht vertrauenswürdige RSA-Zertifikataussteller zulässig sind.

Zertifikate werden von Zertifizierungsstellen signiert, um ihre Authentizität zu überprüfen. Ein nicht vertrauenswürdiger Aussteller ist eine Zertifizierungsstelle, die zum Signieren von Zertifikaten als nicht vertrauenswürdig gekennzeichnet ist.

audienceUriMode

Ruft einen Wert ab, der angibt, ob SamlAudienceRestrictionCondition des SamlSecurityToken-Sicherheitstokens überprüft werden sollte. Dieser Wert ist vom Typ AudienceUriMode. Weitere Informationen zur Verwendung dieses Attributs finden Sie unter AudienceUriMode.

certificateValidationMode

Legt den Zertifikatüberprüfungsmodus fest. Einer der gültigen Werte von X509CertificateValidationMode. Falls auf Custom festgelegt, muss auch customCertificateValidator angegeben sein. Die Standardeinstellung ist ChainTrust.

customCertificateValidatorType

Optionale Zeichenfolge. Ein Typ und eine Assembly, die zum Überprüfen eines benutzerdefinierten Typs verwendet werden. Dieses Attribut muss festgelegt werden, wenn certificateValidationMode auf Custom festgelegt ist.

revocationMode

Legt den Sperrmodus fest, der angibt, ob eine Sperrüberprüfung ausgeführt wird und ob diese online oder offline erfolgt. Dieses Attribut ist vom Typ X509RevocationMode.

samlSerializer

Ein optionales Zeichenfolgenattribut, das den SamlSerializer-Typ angibt, der für die Dienstanmeldeinformationen verwendet wird. Die Standardeinstellung ist eine leere Zeichenfolge.

trustedStoreLocation

Optionale Enumeration. Einer der beiden Systemspeicherorte: LocalMachine oder CurrentUser.

Untergeordnete Elemente

Element Beschreibung

knownCertificates

Gibt eine Auflistung von X509CertificateTrustedIssuerElement-Elementen an, die vertrauenswürdige Aussteller für die Dienstanmeldeinformationen definieren.

Übergeordnete Elemente

Element Beschreibung

<serviceCredentials>

Gibt die Anmeldeinformationen an, die für die Authentifizierung des Diensts verwendet werden sollen, sowie die Einstellungen für die Überprüfung der Clientanmeldeinformationen.

Hinweise

Das Szenario für ausgestellte Token weist drei Phasen auf. In der ersten Phase wird ein Client, der versucht, auf einen Dienst zuzugreifen, an einen Sicherheitstokendienst verwiesen. Der Sicherheitstokendienst authentifiziert den Client und stellt dann ein Token (in der Regel ein SAML-Token (SAML = Security Assertions Markup Language, XML-basierte Auszeichnungssprache für Sicherheitsbestätigungen) für den Client aus. Der Client kehrt dann mit dem Token zum Dienst zurück. Der Dienst überprüft das Token auf Daten, die ihm die Authentifizierung des Tokens und somit des Clients erlauben. Damit das Token authentifiziert werden kann, muss dem Dienst das vom Sicherheitstokendienst verwendete Zertifikat bekannt sein.

Dieses Element ist das Repository für die Zertifikate des Sicherheitstokendiensts. Verwenden Sie zum Hinzufügen von Zertifikaten das <knownCertificates>. Fügen Sie wie im folgenden Beispiel gezeigt ein <add> von <knownCertificates> für jedes Zertifikat ein.

<issuedTokenAuthorization>
   <knownCertificates>
      <add findValue="www.contoso.com" 
           storeLocation="LocalMachine" storeName="My" 
           X509FindType="FindBySubjectName" />
    </knownCertificates>
</issuedTokenAuthentication>

Standardmäßig müssen die Zertifikate von einem Sicherheitstokendienst bezogen werden. Durch diese "bekannten" Zertifikate wird sichergestellt, dass nur berechtigte Clients auf einen Dienst zugreifen können.

Weitere Informationen zur Verwendung dieses Konfigurationselements finden Sie unter How To: Configure Credentials on a Federation Service.

Siehe auch

Verweis

SamlSecurityTokenAuthenticator
AllowedAudienceUris
AudienceUriMode
IssuedTokenAuthentication
IssuedTokenServiceElement
IssuedTokenAuthentication
IssuedTokenServiceCredential

Weitere Ressourcen

Securing Services and Clients
How To: Configure Credentials on a Federation Service