De la seguridad en Servicios Web para .Net - Willy .Net

More documents

Recommendations

Info

Seguridad mediante programaciónLa seguridad mediante programación hace referencia a las comprobaciones deseguridad ubicadas en el código del servicio Web. Las siguientes opciones deseguridad mediante programación están disponibles cuando se utilizan laautenticación de Windows y la suplantación.Peticiones de permisos PrincipalImperativas (en las líneas del código de un método)PrincipalPermission permCheck = new PrincipalPermission(permCheck.Demand();null, @"DomainName\WindowsGroup");Declarativas (estos atributos pueden figurar antes de los métodos o lasclases Web)// Demand that the caller is a member of a specific role (for Windows// authentication this is the same as a Windows group)[PrincipalPermission(SecurityAction.Demand,Role=@"DomainName\WindowsGroup)]// Demand that the caller is a specific user[PrincipalPermission(SecurityAction.Demand,Name=@"DomainName\UserName")]Comprobaciones de funciones explícitas. Puede realizar la comprobaciónde funciones mediante la interfaz IPrincipal.IPrincipal.IsInRole(@"DomainName\WindowsGroup");Escenarios de usoUtilice la autenticación de Windows y la suplantación cuando se den las siguientescondiciones:Los clientes del servicio Web pueden identificarse mediante cuentas deWindows, que a su vez puede autenticar el servidor.Debe transferirse el contexto de seguridad del llamador original al siguientenivel a través del servicio Web. Por ejemplo, a un conjunto de componentesrevisados que utilizan funciones de Servicios Empresariales (COM+) o a unnivel de datos que precisa autorización de granularidad fina (por usuario).Debe transferir el contexto de seguridad del llamador original a los nivelesindirectos a fin de admitir la auditoría de nivel del sistema operativo.Importante: el uso de la suplantación reduce la escalabilidad porque incide en laagrupación de conexiones de bases de datos. A modo de enfoque alternativo, esrecomendable plantearse la posibilidad de utilizar un modelo de subsistema deconfianza en el que el servicio Web autorice a los llamadores y, a continuación,utilice una identidad fija para obtener el acceso a la base de datos. La identidad delllamador se transfiere desde la aplicación; por ejemplo, mediante los parámetrosde procedimiento almacenados.
Más informaciónSi desea obtener más información acerca de la autenticación de Windows y lasuplantación, consulte el capítulo 8 "Seguridad de ASP.NET".Para obtener más información acerca de la autorización mediante direccionesURL, consulte "Notas acerca de la autorización mediante direcciones URL" enel capítulo 8, "Seguridad de ASP.NET".Autenticación de Windows sin suplantaciónLos siguientes elementos de configuración muestran cómo habilitar la autenticaciónde Windows (IIS) sin suplantación de forma declarativa en el archivo Web.config.Seguridad configurableEl empleo de la autenticación de Windows sin la suplantación ofrece las siguientesopciones de autorización:Listas ACL de WindowsArchivo del servicio Web (.asmx). La autorización de archivos lleva acabo comprobaciones de acceso para los recursos ASP.NET solicitados(que incluye el archivo del servicio Web .asmx) mediante el llamadororiginal. No se requiere la suplantación.Recursos a los que obtiene acceso la aplicación. Las listas ACL deWindows de los recursos a las que obtiene acceso la aplicación (archivos,carpetas, claves de registro, objetos de Active Directory) deben incluir unaentrada ACE que conceda acceso de lectura a la identidad del proceso deASP.NET (la identidad predeterminada que utiliza el subproceso delservicio Web para obtener acceso a los recursos).Autorización de URLSe configura en los archivos Machine.config y Web.config. Con laautenticación de Windows, los nombres de usuario adoptan la formaDomainName\UserName (NombreDominio\NombreUsuario) y las funciones seasignan una a una a los grupos de Windows.Seguridad mediante programaciónLa seguridad mediante programación hace referencia a las comprobaciones deseguridad ubicadas en el código del servicio Web. Las siguientes opciones deseguridad mediante programación están disponibles cuando se utiliza laautenticación de Windows sin suplantación.Peticiones de permisos PrincipalImperativasPrincipalPermission permCheck = new PrincipalPermission(null, @"DomainName\WindowsGroup");
Page 1 and 2: De la seguridad en Servicios Web pa
Page 3 and 4: mecanismos de transporte y la confi
Page 5 and 6: Arquitectura de seguridad paraplata
Page 7: Estrategias de autenticación y aut
Page 11 and 12: amenaza en caso de que un intruso p
Page 13 and 14: habilitados estos protocolos en los
Page 15 and 16: En este ejemplo, el tipo de autenti
Page 17 and 18: Utilice el código presentado a con
Page 19 and 20: Deshabilitar el accesoanónimo para
Page 21 and 22: - O bien -Para utilizar laautentica
Page 23 and 24: lleguen al servicio Web. En el serv
Page 25 and 26: Obtener acceso a recursos del siste
Page 27 and 28: {Insert figure: CH10 - Web Service
Page 29 and 30: Una aplicación Web que se ejecuta

De la seguridad en Servicios Web para .Net - Willy .Net

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?