Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se describen los distintos tipos de declaraciones que crea Windows Communication Foundation (WCF) a partir de los tokens predeterminados que admite.
Puede examinar las declaraciones de las credenciales de un cliente mediante las clases ClaimSet y Claim. El ClaimSet contiene una colección de objetos Claim. Cada Claim posee los siguientes miembros importantes:
La propiedad ClaimType devuelve un Identificador Uniforme de Recursos (URI) que especifica el tipo de reclamación que se realiza. Por ejemplo, un tipo de notificación puede ser la huella digital de un certificado, en cuyo caso la dirección URI es
http://schemas.microsoft.com/ws/20005/05/identity/claims/thumprint.La propiedad Right devuelve una dirección URI que especifica el derecho de la reclamación. Los derechos predefinidos se encuentran en la clase Rights (Identity, PossessProperty).
La propiedad Resource devuelve el recurso asociado con la reclamación.
Cada ClaimSet también posee una propiedad Issuer, que representa el ClaimSet de Issuer.
Cuentas de Windows
Cuando una credencial del cliente se asigna a una cuenta de usuario de Windows, el ClaimSet resultante adopta los siguientes valores:
Issueres el valor devuelto por la propiedad estática de Windows de la clase ClaimSet.Las reclamaciones de la colección son:
Claim con un valor ClaimType de identificador de seguridad (SID), un valor de propiedad Right de
Identity, y Resource que devuelve el valor SID real. Un SID es un valor único que emite el controlador de dominio para cada usuario. El SID se utiliza para identificar al usuario en interacciones con seguridad de Windows.Claim con un ClaimType cuyo valor es SID, un Right de
PossessProperty, y un Resource del valor SID.Una Claim con un ClaimType de Name, un Right de
PossessPropertyy un Resource que es una cadena que contiene el nombre de usuario (por ejemplo, "MYMACHINE\Bob").Reclamaciones SID adicionales con PossessProperty para los varios grupos a los que el usuario pertenece.
Certificados
Cuando la credencial del cliente es un certificado, el ClaimSet resultante tiene los siguientes valores:
Para los certificados autoemitidos,
Issueres el propio ClaimSet. El ClaimSet devuelve un ClaimType de Thumbprint, un Right deIdentity, y un valor Resource que es una Byte matriz que contiene la huella digital del certificado.Para un certificado emitido por una entidad de certificación, el emisor es el
ClaimSetque representa el certificado de la entidad de certificación.Las
Claimsde la colección incluyen.Una
Claimcon unClaimTypede Thumbprint, unRightde PropiedadPoseída, y unResourceque es una matriz de bytes que contiene el thumbprint del certificado.Reclamaciones adicionales de PossessProperty de varios tipos, incluidas X500DistinguishedName, Dns, Name, Upn y Rsa, indican varias propiedades del certificado. El recurso para la notificación Rsa es la clave pública asociada con el certificado. Nota: Cuando el tipo de credencial del cliente es un certificado que el servicio asigna a una cuenta de Windows, se generan dos objetos
ClaimSet. El primero contiene todas las notificaciones relacionadas con la cuenta de Windows, y el segundo todas las notificaciones relacionadas con el certificado.
Nombre de usuario/contraseña
Cuando la credencial del cliente es un nombre de usuario/contraseña (o equivalente) que no se asigna a una cuenta de Windows, el ClaimSet resultante es emitido por la propiedad System estática de la clase ClaimSet.
ClaimSet contiene una reclamación Identity de tipo Name cuyo recurso es el nombre de usuario que proporciona el cliente. Una reclamación correspondiente tiene un Right de PossessProperty.
Claves RSA
Cuando se utiliza una clave RSA no asociada con un certificado, el elemento ClaimSet resultante se emite automáticamente y contiene una notificación Identity de tipo Rsa, cuyo recurso es la clave RSA. Una reclamación correspondiente tiene un Right de PossessProperty.
SAML
Cuando el cliente realiza la autenticación con un token de Lenguaje de marcado de aserciones de seguridad (SAML), la entidad que firmo el token de SAML, con frecuencia el certificado del servicio de token de seguridad (STS) que emitió el token de SAML, emite el ClaimSet resultante. El ClaimSet contiene varias afirmaciones como se encuentra en el token de SAML. Si el token de SAML contiene un SamlSubject con un nombre que no sea null, se crean una reclamación Identity con un tipo de NameIdentifier y un tipo de recurso de SamlNameIdentifierClaimResource.
Declaraciones de identidad y ServiceSecurityContext.IsAnonymous
Si ninguno de los objetos resultantes de las credenciales de cliente ClaimSet contiene una declaración cuyo Right sea Identity, la propiedad IsAnonymous devuelve true. Si una o más de esas reclamaciones están presentes, la propiedad IsAnonymous devuelve false.