<emittenteTokenAuthentication> of <serviceCredentials>
Specifica un token personalizzato emesso come credenziale del servizio.
<Configurazione>
<system.serviceModel>
<Comportamenti>
<Servicebehaviors>
<Comportamento>
<Servicecredentials>
<emessoTokenAuthentication>
Sintassi
<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
audienceUriMode="Always/BearerKeyOnly/Never"
customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
samlSerializer="String"
trustedStoreLocation="CurrentUser/LocalMachine">
<allowedAudienceUris>
<add allowedAudienceUri="String" />
</allowedAudienceUris>
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
</knownCertificates>
</issuedTokenAuthentication>
Attributi ed elementi
Nelle sezioni seguenti vengono descritti attributi, elementi figlio ed elementi padre.
Attributi
| Attributo | Descrizione |
|---|---|
allowedAudienceUris |
Ottiene il set di URI di destinazione a cui il token di sicurezza SamlSecurityToken può essere destinato affinché sia considerato valido dall'istanza di un oggetto SamlSecurityTokenAuthenticator. Per altre informazioni sull'uso di questo attributo, vedere AllowedAudienceUris. |
allowUntrustedRsaIssuers |
Valore booleano che specifica se sono consentiti emittenti di certificati RSA non attendibili. I certificati sono firmati dalle Autorità di certificazione (CA) per verificarne l'autenticità. Un emittente non attendibile è un'autorità di certificazione che non è specificata come attendibile per la firma di certificati. |
audienceUriMode |
Ottiene un valore che specifica se occorre convalidare la condizione SamlSecurityToken del token di sicurezza SamlAudienceRestrictionCondition. Questo valore è di tipo AudienceUriMode. Per altre informazioni sull'uso di questo attributo, vedere AudienceUriMode. |
certificateValidationMode |
Imposta la modalità di convalida dei certificati. Uno dei valori validi di X509CertificateValidationMode. Se impostato su Custom, è necessario fornire anche un customCertificateValidator. Il valore predefinito è ChainTrust. |
customCertificateValidatorType |
Stringa facoltativa. Un tipo e un assembly usati per convalidare un tipo personalizzato. Questo attributo deve essere impostato quando certificateValidationMode è impostato su Custom. |
revocationMode |
Imposta la modalità di revoca che specifica se viene eseguito un controllo di revoca e se viene eseguito in linea o non in linea. L'attributo è di tipo X509RevocationMode. |
samlSerializer |
Attributo stringa facoltativo che specifica il tipo di serializzatore SamlSerializer usato per la credenziale del servizio. Il valore predefinito è una stringa vuota. |
trustedStoreLocation |
Enumerazione facoltativa. Uno di due percorsi dell'archivio di sistema: LocalMachine o CurrentUser. |
Elementi figlio
| Elemento | Descrizione |
|---|---|
knownCertificates |
Specifica una raccolta di elementi X509CertificateTrustedIssuerElement che specificano emittenti attendibili per la credenziale del servizio. |
Elementi padre
| Elemento | Descrizione |
|---|---|
| <Servicecredentials> | Specifica la credenziale da usare nell'autenticazione del servizio e le impostazioni relative alla convalida delle credenziali client. |
Commenti
L'emissione di un token di autenticazione prevede tre fasi. Nella prima fase, un client che tenta di accedere a un servizio viene fatto riferimento a un servizio token sicuro. Nella seconda fase, il servizio token di sicurezza autentica il client e quindi rilascia a quest'ultimo un token, in genere un token SAML (Security Assertions Markup Language), che il client restituisce in seguito al servizio. Nella terza fase, il servizio ricerca nel token appena ricevuto i dati da usare per autenticare il token stesso e, pertanto, il client. Affinché il token venga autenticato è necessario che il servizio riconosca il certificato usato dal servizio token di sicurezza.
Questo elemento rappresenta il repository dei certificati usati dal servizio token di sicurezza. Per aggiungere certificati, usare i <notiCertificates>. Inserire un <componente aggiuntivo> per ogni certificato, come illustrato nell'esempio seguente.
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
Per impostazione predefinita, i certificati devono essere ottenuti da un servizio token di sicurezza. Questi certificati "riconosciuti" garantiscono che solo i client autorizzati siano in grado di accedere a un determinato servizio.
Per altre informazioni sull'uso di questo elemento di configurazione, vedere Procedura: Configurare le credenziali in un servizio federativo.
