IssuerNameRegistry

  • Article

IssuerNameRegistry

La classe IssuerNameRegistry fournit un service de nom qui retourne le nom d'émetteur d'un jeton donné. WIF fournit un ConfigurationBasedIssuerNameRegistry pour pouvoir commencer facilement, mais nous recommandons que les développeurs écrivent une implémentation personnalisée qui dérive de la classe IssuerNameRegistry.

ConfigurationBasedIssuerNameRegistry prend un jeton de sécurité X509 et retourne un nom d'émetteur si l'empreinte numérique SHA-1 du certificat est dans le ConfiguredTrustedIssuers. ConfigurationBasedIssuerNameRegistry doit d'abord être configuré avec ConfiguredTrustedIssuers, qui est une liste d'émetteurs approuvés. ConfiguredTrustedIssuers est un dictionnaire de noms d'émetteurs et d'empreintes numériques de certificats.

Notes

Bien que le IssuerNameRegistry soit la place logique pour rejeter des émetteurs non approuvés, inconnus ou non valides, pensez que les gestionnaires de jetons appliquent la validité PeerOrChainTrust sur les certificats d'émetteurs par défaut, de sorte que tout contrôle semblable dans le IssuerNameRegistry sera redondant.

Notez que Issuer est maintenant de type String. Cela permet à l'émetteur d'être représenté de façon plus descriptive et à la prise de décisions d'authentification et d'autorisation de reposer sur la valeur de chaîne retournée du IssuerNameRegistry. Nous recommandons que les développeurs utilisent le IssuerNameRegistry comme point de décision d'approbation pour rejeter des émetteurs inconnus ou non approuvés dès que possible dans le pipeline d'authentification.

Le IssuerNameRegistry comporte trois méthodes, appelées par défaut à partir des différents gestionnaires de jetons. GetIssuerName est appelée pour l'authentification de certificat client sur le certificat d'émetteur d'un X509SecurityToken entrant.

GetIssuerName est appelée pour l'authentification de jeton émis par SAML sur le certificat de signature d'un jeton SAML 1.1 ou SAML 2 entrant. Le paramètre de chaîne est le nom d'émetteur demandé à partir de l'« Émetteur » dans le jeton SAML.

GetWindowsIssuerName est appelée pendant l'authentification Windows, et pendant le mappage aux scénarios Windows où des revendications Windows supplémentaires sont ajoutées à l'identité du client.