<<безопасность> customBinding>
Задает параметры безопасности для пользовательской привязки.
<configuration>
<system.serviceModel>
<bindings>
<Custombinding>
<Привязки>
<Безопасность >
Синтаксис
<security allowSerializedSigningTokenOnReply="Boolean"
authenticationMode="AuthenticationMode"
defaultAlgorithmSuite="SecurityAlgorithmSuite"
includeTimestamp="Boolean"
requireDerivedKeys="Boolean"
keyEntropyMode="ClientEntropy/ServerEntropy/CombinedEntropy"
messageProtectionOrder="SignBeforeEncrypt/SignBeforeEncryptAndEncryptSignature/EncryptBeforeSign"
messageSecurityVersion="WSSecurityJan2004/WSSecurityXXX2005"
requireSecurityContextCancellation="Boolean"
requireSignatureConfirmation="Boolean"
securityHeaderLayout="Strict/Lax/LaxTimestampFirst/LaxTimestampLast">
<issuedTokenParameters />
<localClientSettings />
<localServiceSettings />
<secureConversationBootstrap />
</security>
Атрибуты и элементы
В следующих разделах описываются атрибуты, дочерние и родительские элементы.
Атрибуты
| Атрибут | Description |
|---|---|
| allowSerializedSigningTokenOnReply | Необязательно. Логическое значение, определяющее, может ли в ответе использоваться сериализованный маркер. Значение по умолчанию — false. При использовании двойной привязки для всех параметров, имеющих значение по умолчанию true, пропускаются любые заданные параметры. |
| authenticationMode | Необязательно. Указывает режим проверки подлинности, используемый между инициатором и отвечающим устройством. Список значений приведен ниже. Значение по умолчанию — sspiNegotiated. |
| defaultAlgorithmSuite | Необязательно. Задает алгоритмы шифрования сообщений и ключей. Алгоритмы и размеры ключей определяются классом SecurityAlgorithmSuite. Эти алгоритмы соответствуют алгоритмам, заданным в спецификации языка политики безопасности (WS-SecurityPolicy). Допустимые значения приведены ниже. Значение по умолчанию — Basic256.Этот атрибут используется при работе с другой платформой, которая использует набор алгоритмов, отличный от набора по умолчанию. При внесении изменений в параметры настройки необходимо знать о сильных и слабых сторонах соответствующих алгоритмов. Это атрибут типа SecurityAlgorithmSuite. |
| includeTimestamp | Логическое значение, определяющее, включается ли в каждое сообщение отметка времени. Значение по умолчанию — true. |
| keyEntropyMode | Указывает способ вычисления ключей для защиты сообщений. Ключи могут быть основаны только на данных ключа клиента, только на данных ключа службы или на сочетании обоих типов данных. Допустимы следующие значения: - ClientEntropy: ключ сеанса основан на ключевых данных, предоставляемых клиентом.- ServerEntropy: ключ сеанса основан на ключевых данных, предоставляемых сервером.- CombinedEntropy: ключ сеанса основан на ключевых данных, предоставляемых клиентом и службой.Значение по умолчанию — CombinedEntropy.Это атрибут типа SecurityKeyEntropyMode. |
| messageProtectionOrder | Определяет порядок, в котором к сообщению применяются алгоритмы безопасности уровня сообщения. Допустимые значения. - SignBeforeEncrypt: сначала подписать, а затем зашифровать.- SignBeforeEncryptAndEncryptSignature: сначала запишите, зашифруйте, а затем зашифруйте подпись.- EncryptBeforeSign: сначала зашифруйте, а затем подписываете.Значение по умолчанию зависит от используемой версии WS-Security. Значение по умолчанию - SignBeforeEncryptAndEncryptSignature, если используется WS-Security 1,1. Значение по умолчанию - SignBeforeEncrypt, если используется WS-Security 1.0.Это атрибут типа MessageProtectionOrder. |
| messageSecurityVersion | Необязательно. Задает используемую версию WS-Security. Допустимые значения. - Windows SharePoint Services ecurity11WSTrustFebruary2005 Windows SharePoint Services ecureConversationFebruary2005 Windows SharePoint Services ecurityPolicy11 - Windows SharePoint Services ecurity10WSTrustFebruary2005 Windows SharePoint Services ecureConversationFebruary2005 Windows SharePoint Services ecurityPolicy11BasicSecurityProfile10 - Windows SharePoint Services ecurity11WSTrustFebruary2005 Windows SharePoint Services ecureConversationFebruary2005 Windows SharePoint Services ecurityPolicy11BasicSecurityProfile10 Значение по умолчанию - WSSecurity11WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11, которое может быть выражено в формате XML просто как Default. Это атрибут типа MessageSecurityVersion. |
| requireDerivedKeys | Логическое значение, которое указывает, могут ли ключи быть производными от исходных ключей проверки. Значение по умолчанию — true. |
| requireSecurityContextCancellation | Необязательно. Логическое значение, определяющее, следует ли отменять и завершать контекст безопасности, когда он больше не нужен. Значение по умолчанию — true. |
| requireSignatureConfirmation | Необязательно. Логическое значение, определяющее, включено ли подтверждение сигнатуры WS-Security. Если установлено значение true, то сигнатуры сообщений подтверждаются респондентом. Если пользовательская привязка настроена для использования взаимных сертификатов или выданных маркеров (привязки WSS 1.1), то этот атрибут имеет значение по умолчанию true. В противном случае значение по умолчанию — false.Подтверждение сигнатуры используется для подтверждения того, что служба отвечает, получив запрос полностью. |
| securityHeaderLayout | Необязательно. Определяет порядок расположения элементов в заголовке безопасности. Допустимы следующие значения: - Strict: элементы добавляются в заголовок безопасности в соответствии с общим принципом "объявление перед использованием".- Lax: элементы добавляются в заголовок безопасности в любом порядке, который подтверждает Windows SharePoint Services: безопасность сообщений SOAP.- LaxWithTimestampFirst: элементы добавляются в заголовок безопасности в любом порядке, который подтверждает Windows SharePoint Services: безопасность SOAP Message, за исключением того, что первый элемент в заголовке безопасности должен быть элемент wsse:Timestamp.- LaxWithTimestampLast: элементы добавляются в заголовок безопасности в любом порядке, который подтверждает Windows SharePoint Services: безопасность сообщений SOAP, за исключением того, что последний элемент в заголовке безопасности должен быть элемент wsse:Timestamp.Значение по умолчанию — Strict.Это элемент типа SecurityHeaderLayout. |
Атрибут authenticationMode
| значение | Описание |
|---|---|
| Строка | AnonymousForCertificateAnonymousForSslNegotiatedCertificateOverTransportIssuedTokenIssuedTokenForCertificateIssuedTokenForSslNegotiatedIssuedTokenOverTransportKerberosKerberosOverTransportMutualCertificateMutualCertificateDuplexMutualSslNegotiatedSecureConversationSspiNegotiatedUserNameForCertificateUserNameForSslNegotiatedUserNameOverTransportSspiNegotiatedOverTransport |
Атрибут defaultAlgorithm
| значение | Описание |
|---|---|
| Basic128 | Используется шифрование Aes128, Sha1 для хэша и Rsa-oaep-mgf1p для шифрования ключа. |
| Basic192 | Используется шифрование Aes192, Sha1 для хэша и Rsa-oaep-mgf1p для шифрования ключа. |
| Basic256 | Используется шифрование Aes256, Sha1 для хэш-кода и Rsa-oaep-mgf1p для шифрования ключа. |
| Basic256Rsa15 | Используется Aes256 для шифрования сообщения, Sha1 для хэш-кода и Rsa15 для шифрования ключа. |
| Basic192Rsa15 | Используется Aes192 для шифрования сообщения, Sha1 для хэш-кода и Rsa15 для шифрования ключа. |
| TripleDes | Используется шифрование TripleDes, Sha1 для хэш-кода и Rsa-oaep-mgf1p для шифрования ключа. |
| Basic128Rsa15 | Используется Aes128 для шифрования сообщения, Sha1 для хэш-кода и Rsa15 для шифрования ключа. |
| TripleDesRsa15 | Используется TripleDes для шифрования сообщения, Sha1 для хэш-кода и Rsa15 для шифрования ключа. |
| Basic128Sha256 | Используйте Aes128 для шифрования сообщений Sha256 для дайджеста сообщений и rsa-oaep-mgf1p для упаковки ключей. |
| Basic192Sha256 | Используется Aes192 для шифрования сообщения, Sha256 для хэш-кода и Rsa-oaep-mgf1p для шифрования ключа. |
| Basic256Sha256 | Используется Aes256 для шифрования сообщения, Sha256 для хэша и Rsa-oaep-mgf1p для шифрования ключа. |
| TripleDesSha256 | Используется TripleDes для шифрования сообщения, Sha256 для хэш-кода и Rsa-oaep-mgf1p для шифрования ключа. |
| Basic128Sha256Rsa15 | Используется Aes128 для шифрования сообщения, Sha256 для хэш-кода и Rsa15 для шифрования ключа. |
| Basic192Sha256Rsa15 | Используется Aes192 для шифрования сообщения, Sha256 для хэш-кода и Rsa15 для шифрования ключа. |
| Basic256Sha256Rsa15 | Используется Aes256 для шифрования сообщения, Sha256 для хэша и Rsa15 для шифрования ключа. |
| TripleDesSha256Rsa15 | Используется TripleDes для шифрования сообщения, Sha256 для хэш-кода и Rsa15 для шифрования ключа. |
Дочерние элементы
| Элемент | Description |
|---|---|
| <issuedTokenParameters> | Определяет текущий выданный маркер. Это элемент типа IssuedTokenParametersElement. |
| <localClient Параметры> | Задает параметры безопасности локального клиента для этой привязки. Это элемент типа LocalClientSecuritySettingsElement. |
| <localService Параметры> | Задает параметры безопасности локальной службы для этой привязки. Это элемент типа LocalServiceSecuritySettingsElement. |
| <secureConversationBootstrap> | Задает значения по умолчанию, используемые для инициализации службы безопасного обмена данными. |
Родительские элементы
| Элемент | Description |
|---|---|
| <Привязки> | Определяет все возможности пользовательской привязки. |
Замечания
Дополнительные сведения об использовании этого элемента см. в разделе "Режимы проверки подлинности SecurityBindingElement" и "Практическое руководство. Создание пользовательской привязки с помощью SecurityBindingElement".
Пример
В следующем примере показано, как настроить параметры безопасности с помощью настраиваемой привязки. Здесь показано, как использовать пользовательскую привязку для включения безопасности на уровне сообщений вместе с безопасным транспортом. Это полезно, когда требуется передавать сообщения между клиентом и службой с помощью безопасного транспорта с одновременным обеспечением безопасности на уровне сообщений. Эта конфигурация не поддерживается привязками, предоставляемыми системой.
Конфигурация службы определяет настраиваемую привязку, которая поддерживает обмен данными по протоколу TCP с защитой протоколом TLS/SSL и системой безопасности сообщений Windows. Пользовательская привязка использует сертификат службы для проверки подлинности службы на уровне транспорта и для защиты сообщений при передаче между клиентом и службой. Это достигается элементом привязки <sslStreamSecurity> . Сертификат службы настраивается с помощью поведения службы.
Кроме того, пользовательская привязка использует безопасность сообщений с типом учетных данных Windows, который является типом учетных данных по умолчанию. Это достигается элементом привязки безопасности . Если доступен механизм проверки подлинности Kerberos, то проверка подлинности как клиента, так и службы выполняется с использованием безопасности уровня сообщений. Если механизм проверки подлинности Kerberos недоступен, используется проверка подлинности NTLM. NTLM выполняет проверку подлинности клиента при подключении к службе, но не выполняет проверку подлинности службы при подключении к клиенту. Элемент привязки безопасности настроен для использования SecureConversation authenticationType, что приводит к созданию сеанса безопасности как для клиента, так и службы. Это требуется для обеспечения работы дуплексного контракта службы. Дополнительные сведения о запуске этого примера см. в разделе "Безопасность пользовательской привязки".
<configuration>
<system.serviceModel>
<services>
<service name="Microsoft.ServiceModel.Samples.CalculatorService"
behaviorConfiguration="CalculatorServiceBehavior">
<host>
<baseAddresses>
<!-- use following base address -->
<add baseAddress="net.tcp://localhost:8000/ServiceModelSamples/Service"/>
</baseAddresses>
</host>
<endpoint address=""
binding="customBinding"
bindingConfiguration="Binding1"
contract="Microsoft.ServiceModel.Samples.ICalculatorDuplex" />
<!-- the mex endpoint is exposed at net.tcp://localhost:8000/ServiceModelSamples/service/mex -->
<endpoint address="mex"
binding="mexTcpBinding"
contract="IMetadataExchange" />
</service>
</services>
<bindings>
<!-- configure a custom binding -->
<customBinding>
<binding name="Binding1">
<security authenticationMode="SecureConversation"
requireSecurityContextCancellation="true">
</security>
<textMessageEncoding messageVersion="Soap12WSAddressing10"
writeEncoding="utf-8" />
<sslStreamSecurity requireClientCertificate="false" />
<tcpTransport />
</binding>
</customBinding>
</bindings>
<!--For debugging purposes set the includeExceptionDetailInFaults attribute to true-->
<behaviors>
<serviceBehaviors>
<behavior name="CalculatorServiceBehavior">
<serviceMetadata />
<serviceDebug includeExceptionDetailInFaults="False" />
<serviceCredentials>
<serviceCertificate findValue="localhost"
storeLocation="LocalMachine"
storeName="My"
x509FindType="FindBySubjectName" />
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
</system.serviceModel>
</configuration>
См. также
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по