<serviceCredentials> の <issuedTokenAuthentication>
サービス資格情報として発行されるカスタム トークンを指定します。
スキーマの階層
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<serviceBehaviors> の <behavior>
<serviceCredentials>
<serviceCredentials> の <issuedTokenAuthentication>
構文
<issuedTokenAuthentication
allowUntrustedRsaIssuers="Boolean"
audienceUriMode="Always/BearerKeyOnly/Never"
customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
samlSerializer="String"
trustedStoreLocation="CurrentUser/LocalMachine">
<allowedAudienceUris>
<add allowedAudienceUri="String"/>
</allowedAudienceUris>
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier"/>
</knownCertificates>
</issuedTokenAuthentication>
属性と要素
以降のセクションでは、属性、子要素、および親要素について説明します。
属性
| 属性 | 説明 |
|---|---|
allowedAudienceUris |
SamlSecurityTokenAuthenticator インスタンスにより有効と見なされるように、SamlSecurityToken セキュリティ トークンのターゲットとなる URI のセットを取得します。この属性の使い方の詳細については、「AllowedAudienceUris」を参照してください。 |
allowUntrustedRsaIssuers |
信頼できない RSA 証明書の発行者を許可するかどうかを指定するブール値。 証明書は、信頼性を検証する証明機関 (CA) によって署名されます。信頼できない発行者とは、証明書の署名が信頼できると指定されていない CA です。 |
audienceUriMode |
SamlSecurityToken セキュリティ トークンの SamlAudienceRestrictionCondition を検証するかどうかを指定する値を取得します。この値は、AudienceUriMode 型です。この属性の使い方の詳細については、「AudienceUriMode」を参照してください。 |
certificateValidationMode |
証明書検証モードを設定します。X509CertificateValidationMode の有効な値のいずれかです。Custom に設定されている場合、customCertificateValidator も指定する必要があります。既定値は ChainTrust です。 |
customCertificateValidatorType |
省略可能な文字列です。カスタム型の検証に使用される型およびアセンブリです。certificateValidationMode が Custom に設定されている場合は、この属性を設定する必要があります。 |
revocationMode |
失効状態の検証を行うかどうかに加え、検証をオンラインで実行するか、オフラインで実行するかを指定する失効モードを設定します。この属性は X509RevocationMode 型です。 |
samlSerializer |
サービス資格情報に使用される SamlSerializer の型を指定する省略可能な文字列属性。既定値は空の文字列です。 |
trustedStoreLocation |
省略可能な列挙体です。2 つのシステム格納場所 (LocalMachine または CurrentUser) のいずれかです。 |
子要素
| 要素 | 説明 |
|---|---|
knownCertificates |
サービス資格情報の信頼できる発行者を指定する X509CertificateTrustedIssuerElement 要素のコレクションを指定します。 |
親要素
| 要素 | 説明 |
|---|---|
サービスの認証に使用される資格情報と、クライアントの資格情報検証関連の設定を指定します。 |
解説
発行されるトークンのシナリオには、3 つの段階があります。まず、サービスにアクセスしようとしているクライアントがセキュリティ トークン サービスに参照されます。次に、セキュリティ トークン サービスがクライアントを認証し、その後、クライアントにトークン (通常は、SAML (Security Assertions Markup Language) トークン) を発行します。最後に、クライアントがトークンを持ってサービスに戻ります。サービスはトークンを調べ、トークンを認証することでクライアントの認証を可能にするデータを確認します。トークンを認証するには、セキュリティ トークン サービスで使用される証明書がサービスによって認識されている必要があります。
この要素は、このようなセキュリティ トークン サービス証明書のリポジトリです。証明書を追加するには、<knownCertificates>を使用します。次の例に示すように、証明書ごとに <knownCertificates> の <add>を挿入します。
<issuedTokenAuthorization>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine" storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
既定では、証明書はセキュリティ トークン サービスから取得する必要があります。このような "既知" の証明書により、正当なクライアントのみがサービスにアクセスできるようになります。
この構成要素の使い方の詳細については、「How To: Configure Credentials on a Federation Service」を参照してください。
参照
リファレンス
SamlSecurityTokenAuthenticator
AllowedAudienceUris
AudienceUriMode
IssuedTokenAuthentication
IssuedTokenServiceElement
IssuedTokenAuthentication
IssuedTokenServiceCredential
その他のリソース
Securing Services and Clients
How To: Configure Credentials on a Federation Service