指定以服務憑證形式發行的自訂令牌。
<configuration>
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior>
<serviceCredentials>
<issuedTokenAuthentication>
語法
<issuedTokenAuthentication allowUntrustedRsaIssuers="Boolean"
audienceUriMode="Always/BearerKeyOnly/Never"
customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
samlSerializer="String"
trustedStoreLocation="CurrentUser/LocalMachine">
<allowedAudienceUris>
<add allowedAudienceUri="String" />
</allowedAudienceUris>
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
</knownCertificates>
</issuedTokenAuthentication>
屬性和項目
下列各節說明屬性、子元素和父元素
Attributes
| Attribute | Description |
|---|---|
allowedAudienceUris |
取得安全權杖可被鎖定的目標 URI SamlSecurityToken 集合,以確保該實例視為有效 SamlSecurityTokenAuthenticator 。 欲了解更多使用此屬性的資訊,請參見 AllowedAudienceUris。 |
allowUntrustedRsaIssuers |
一個布林值,用來指定是否允許不受信任的 RSA 憑證發行者。 證書由認證機構(CA)簽署以驗證真實性。 不受信任的發行者是指未指定可被信任簽署憑證的CA。 |
audienceUriMode |
會得到一個值,指定是否 SamlSecurityToken 應該驗證安全權杖 SamlAudienceRestrictionCondition 。 此值為類型 AudienceUriMode。 欲了解更多使用此屬性的資訊,請參見 AudienceUriMode。 |
certificateValidationMode |
設定憑證驗證模式。 其中一個有效的值 X509CertificateValidationMode。 若設為 Custom,則必須提供 a customCertificateValidator 。 預設值為 ChainTrust。 |
customCertificateValidatorType |
選擇性字串。 一個用來驗證自訂型別的型別與組件。 當 certificateValidationMode 被設定為 Custom時,必須設定此屬性。 |
revocationMode |
設定撤銷模式,指定撤銷檢查是否發生,以及是否在線或離線執行。 此屬性的類型 X509RevocationMode為 。 |
samlSerializer |
一個可選的字串屬性,用來指定用於服務憑證的 SamlSerializer 類型。 預設值是空字串。 |
trustedStoreLocation |
可選的列舉。 兩個系統儲存位置之一: LocalMachine 或 CurrentUser。 |
子專案
| 元素 | Description |
|---|---|
knownCertificates |
指定一組 X509CertificateTrustedIssuerElement 元素,指定服務憑證的受信任發行者。 |
父項目
| 元素 | Description |
|---|---|
| <服務憑證> | 指定用於認證服務的憑證,以及用戶端憑證驗證相關的設定。 |
備註
發行之權杖的情況有三個階段。 在第一階段,嘗試存取服務的客戶端會被指向 安全令牌服務。 安全令牌服務接著對客戶端進行認證,並隨後發出一個令牌,通常是安全斷言標記語言(SAML)令牌。 用戶端接著會以權杖傳回服務。 此服務會檢查資料的權杖,使服務能夠驗證權杖,因此也能夠驗證用戶端。 為了驗證該憑證,安全憑證服務所使用的憑證必須為服務所知。
此元素即為任何此類安全令牌服務憑證的儲存庫。 若要新增憑證,請使用 <knownCertificates>。 為每個憑證插入 <add>,如下列範例所示。
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
根據預設,必須從安全權杖服務取得憑證。 這些「已知的」憑證可確保只有合法的用戶端可以存取服務。
欲了解更多使用此設定元素的資訊,請參閱 「如何:在聯邦服務上配置憑證」。
