表示 X.509 证书的集合,这些证书用于对从安全令牌服务(STS)颁发的安全凭据进行身份验证。
<configuration>
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior>
<serviceCredentials>
<issuedTokenAuthentication>
<knownCertificates>
Syntax
<knownCertificates>
<add findValue="String"
storeLocation="CurrentUser/LocalMachine"
storeName=" CurrentUser/LocalMachine"
x509FindType="FindByThumbprint/FindBySubjectName/FindBySubjectDistinguishedName/FindByIssuerName/FindByIssuerDistinguishedName/FindBySerialNumber/FindByTimeValid/FindByTimeNotYetValid/FindBySerialNumber/FindByTimeExpired/FindByTemplateName/FindByApplicationPolicy/FindByCertificatePolicy/FindByExtension/FindByKeyUsage/FindBySubjectKeyIdentifier" />
</knownCertificates>
特性和元素
以下部分介绍属性、子元素和父元素
特性
没有。
子元素
| 元素 | Description |
|---|---|
| <加> | 将 X.509 证书添加到集合。 |
父元素
| 元素 | Description |
|---|---|
| <issuedTokenAuthentication> | 指定作为服务凭据颁发的令牌。 |
注解
颁发的令牌方案包含三个阶段。 在第一阶段,尝试访问服务的客户端将引用安全 令牌服务。 然后,安全令牌服务对客户端进行身份验证,随后向客户端颁发令牌,通常是安全断言标记语言(SAML)令牌。 接下来,客户端携带此令牌返回服务。 服务检查该令牌,以获取使其可以对该令牌并进而对该客户端进行身份验证的数据。 若要对令牌进行身份验证,必须知道安全令牌服务使用的证书。
<issuedTokenAuthentication> 元素是所有此类安全令牌服务证书的储存库。 若要添加证书,请使用 <knownCertificates> 元素。 请为每个证书都插入 <add>,如下面的示例所示。
<issuedTokenAuthentication>
<knownCertificates>
<add findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="My"
X509FindType="FindBySubjectName" />
</knownCertificates>
</issuedTokenAuthentication>
默认情况下,必须从安全令牌服务那里获取证书。 这些“已知的”证书可以确保只有合法的客户端才能访问服务。
若要查看联合服务对客户端进行身份验证所需的条件,以及使用此配置元素的详细信息,请参阅 如何:在联合身份验证服务上配置凭据。 有关联合方案的详细信息,请参阅联合令牌与颁发的令牌。
有关如何在配置中填充集合的示例,请参阅 <添加>。
