De la seguridad en Servicios Web para .Net - Willy .Net

More documents

Recommendations

Info

PasoDeshabilitar el accesoanónimo para el directorioraíz virtual de la aplicaciónMás informaciónHabilitar la autenticaciónbásicaNota: la autenticación básica del servidor de aplicaciones(servicio Web) permite que el servicio Web transfiera elcontexto de seguridad del llamador original a la base dedatos (dado que el nombre de usuario y la contraseña delllamador están disponibles en formato de texto sin cifrar ypueden utilizarse para responder a los desafíos deautenticación de red desde el servidor de bases de datos).Si no necesita transferir el contexto de seguridad delllamador original más allá del servicio Web, considere laposibilidad de configurar IIS en el servidor de aplicacionespara que utilice la autenticación integrada de Windows,puesto que con ello se mejora la seguridad y lascredenciales no se transmiten a través de la red ni estándisponibles para el servicio Web.Configurar ASP.NET (servicio Web)PasoConfigurar ASP.NET parautilizar la autenticación deWindowsMás informaciónModifique el archivo Web.config del directorio virtual delservicio Web.Establezca el elemento como se indicaa continuación:Configurar el servicio Webde ASP.NET para lasuplantaciónModifique el archivo Web.config del directorio virtual delservicio Web.Establezca el elemento como se indica acontinuación:Nota: este paso sólo es necesario si se desea transferir elcontexto de seguridad del llamador original al siguientenivel indirecto (una base de datos por ejemplo) a travésdel servicio Web. Si está habilitada la suplantación, elacceso a los recursos (tanto local como remoto) utilizaráel contexto de seguridad del llamador original suplantado.Si sus necesidades se limitan a permitir comprobacionesde autorización por usuario en el servicio Web, nonecesitará utilizar la suplantación.Subsistema de confianzaEl modelo del subsistema de confianza constituye un enfoque alternativo (mássencillo de implementar) para la transmisión del contexto de seguridad del llamadororiginal. En este modelo existe un límite de confianza entre el servicio Web y laaplicación Web. El servicio Web confía en la aplicación Web para que autentique yautorice correctamente a los llamadores, antes de que permitir que las solicitudes
lleguen al servicio Web. En el servicio Web no se lleva a cabo autenticación algunade los llamadores originales. El servicio Web autentica la identidad fija de confianzautilizada por la aplicación Web para la comunicación con el servicio Web. En lamayoría de los casos, se trata de la identidad del proceso de trabajo de ASP.NET.El modelo de subsistema de confianza se refleja en la ilustración 10.6.{Insert figure: CH10 – Trusted subsystem with Web service.gif}Ilustración 10.6El modelo de subsistema de confianzaTransmitir la identidad del llamadorSi utiliza el modelo de subsistema de confianza, quizás necesite transmitir laidentidad del llamador original (el nombre, no el contexto de seguridad), por ejemplo,por motivos de auditoría de la base de datos.Puede transferir la identidad desde la aplicación mediante un método. Por otra parte,puede utilizar los parámetros de procedimientos almacenados y los parámetros deconsulta de confianza (como muestra el siguiente ejemplo) para recuperar datosespecíficos de usuario de la base de datos.SELECT x,y,z FROM SomeTable WHERE UserName = "Alice"Pasos de configuraciónLas tablas que figuran a continuación muestran los pasos de configuración quedeben llevarse a cabo en el servidor Web, así como en el servidor de aplicaciones.Configurar el servidor WebConfigurar IISPasoConfigurar la autenticaciónde IISConfigurar ASP.NETPasoConfigurar la autenticacióny comprobar que lasuplantación estédeshabilitadaMás informaciónLa aplicación Web puede utilizar cualquier forma deautenticación para autenticar a los llamadores originales.Más informaciónModifique el archivo Web.config del directorio virtual de laaplicación Web.Establezca el elemento en “Windows”,“Forms” o “Passport”.Establezca el elemento como se indica acontinuación:
Page 1 and 2: De la seguridad en Servicios Web pa
Page 3 and 4: mecanismos de transporte y la confi
Page 5 and 6: Arquitectura de seguridad paraplata
Page 7 and 8: Estrategias de autenticación y aut
Page 9 and 10: Más informaciónSi desea obtener m
Page 11 and 12: amenaza en caso de que un intruso p
Page 13 and 14: habilitados estos protocolos en los
Page 15 and 16: En este ejemplo, el tipo de autenti
Page 17 and 18: Utilice el código presentado a con
Page 19 and 20: Deshabilitar el accesoanónimo para
Page 21: - O bien -Para utilizar laautentica
Page 25 and 26: Obtener acceso a recursos del siste
Page 27 and 28: {Insert figure: CH10 - Web Service
Page 29 and 30: Una aplicación Web que se ejecuta

De la seguridad en Servicios Web para .Net - Willy .Net

Create successful ePaper yourself

Delete template?

Save as template?