De la seguridad en Servicios Web para .Net - Willy .Net

More documents

Recommendations

Info

Puede generar un proxy de servicio Web mediante la utilidad de la línea decomandos Wsdl.exe. Si utiliza Visual Studio .NET también puede generar el proxyagregando una referencia Web al proyecto.Nota: si el servicio Web para el que desea generar un proxy está configurado pararequerir certificados de cliente, deberá deshabilitar temporalmente dicho requisitomientras agrega la referencia; de lo contrario se producirá un error. Una vezagregada la referencia, no olvide volver a configurar el servicio para que exija loscertificados.Un enfoque alternativo consiste en mantener fuera de línea un archivo WSDL(Lenguaje de descripción de servicios Web) de los servicios Web para que estédisponible para las aplicaciones de consumidor. Es importante que recuerdeactualizarlo si se modifica la interfaz del Servicio Web.Especificar las credenciales de cliente para laautenticación de WindowsEl uso de la autenticación de Windows requiere especificar las credenciales quedeben utilizarse para la autenticación mediante la propiedad Credentials del proxyde servicio Web. Si no establece esta propiedad de forma expresa, se efectuará lallamada al servicio Web sin utilizar credenciales. Cuando se requiere la autenticaciónde Windows, se generará un estado HTTP 401, de respuesta de acceso denegado.Utilizar DefaultCredentialsLas credenciales de cliente no se transfieren de forma implícita. Es el consumidor delservicio Web quien debe establecer las credenciales y los detalles de laautenticación en el proxy. Para transferir el contexto de seguridad del contexto deseguridad Windows del cliente (sea desde un testigo de subproceso suplantado seadesde un testigo de proceso) a un servicio Web, establezca la propiedadCredentials del proxy de servicio Web en CredentialCache.DefaultCredentials talcomo se muestra a continuación.proxy.Credentials = System.Net.CredentialCache.DefaultCredentials;Tenga en cuenta los siguientes aspectos antes de utilizar este enfoque:Este método transfiere las credenciales del cliente únicamente cuando seutiliza la autenticación NTLM, Kerberos o negociada.Si una aplicación de cliente (por ejemplo, una aplicación de formularios deWindows) llama al servicio Web, las credenciales se obtendrán de la sesión deinicio de sesión interactiva del usuario.Las aplicaciones de servidor, como las aplicaciones Web de ASP.NET, utilizanla identidad de proceso, salvo que se haya configurado la suplantación, encuyo caso se utiliza la identidad del llamador suplantado.Utilizar credenciales específicasPara utilizar un conjunto específico de credenciales de autenticación para llamar a unservicio Web, utilice el siguiente código.CredentialCache cache = new CredentialCache();cache.Add( new Uri(proxy.Url), // Web service URL"Negotiate", // Kerberos or NTLMnew NetworkCredential("username", "password", "domainname") );proxy.Credentials = cache;
En este ejemplo, el tipo de autenticación negociada solicitada puede ser laautenticación Kerberos o NTLM.Solicitar siempre un tipo de autenticación específicaEs recomendable solicitar siempre un tipo de autenticación específico, tal como semuestra más arriba. Evite el uso directo de la clase NetworkCredential, como serefleja en el siguiente fragmento de código.proxy.Credentials = newNetworkCredential("username", "password", "domainname");Este método debería evitarse en el código de producción porque se pierde el controldel mecanismo de autenticación que utiliza el servicio Web y, como consecuencia, sepierde también el control con relación al uso de las credenciales.Por ejemplo, es probable que se produzca un desafío de autenticación Kerberos oNTLM desde el servidor pero, en su lugar, recibirá un desafío básico. En este caso,el nombre de usuario y la contraseña proporcionados se enviarán al servidor enformato de texto no cifrado.Establecer la propiedad PreAuthenticateLa propiedad PreAuthenticate del proxy puede establecerse como verdadera ofalsa. Establézcala en verdadera (true) para proporcionar las credenciales deautenticación específicas para generar un encabezado HTTP WWW-authenticatepara transferir con la solicitud Web. Esta propiedad guarda la denegación de accesodel servidor Web en la solicitud y lleva a cabo la autenticación en la siguientesolicitud de reintento.Nota: la preautenticación sólo se aplica cuando el servicio Web se autenticacorrectamente la primera vez. La preautenticación no tiene repercusión alguna enla primera solicitud Web.private void ConfigureProxy( WebClientProtocol proxy,string domain, string username,string password ){// To improve performance, force pre-authenticationproxy.PreAuthenticate = true;// Set the credentialsCredentialCache cache = new CredentialCache();cache.Add( new Uri(proxy.Url),"Negotiate",new NetworkCredential(username, password, domain) );proxy.Credentials = cache;proxy.ConnectionGroupName = username;}Utilizar la propiedad ConnectionGroupNameTenga en cuenta que el código anterior establece la propiedadConnectionGroupName del proxy de servicio Web. Este paso sólo es necesario siel contexto de seguridad utilizado para la conexión con el servicio Web varía de unasolicitud a la otra, tal como se describe a continuación.
Page 1 and 2: De la seguridad en Servicios Web pa
Page 3 and 4: mecanismos de transporte y la confi
Page 5 and 6: Arquitectura de seguridad paraplata
Page 7 and 8: Estrategias de autenticación y aut
Page 9 and 10: Más informaciónSi desea obtener m
Page 11 and 12: amenaza en caso de que un intruso p
Page 13: habilitados estos protocolos en los
Page 17 and 18: Utilice el código presentado a con
Page 19 and 20: Deshabilitar el accesoanónimo para
Page 21 and 22: - O bien -Para utilizar laautentica
Page 23 and 24: lleguen al servicio Web. En el serv
Page 25 and 26: Obtener acceso a recursos del siste
Page 27 and 28: {Insert figure: CH10 - Web Service
Page 29 and 30: Una aplicación Web que se ejecuta

De la seguridad en Servicios Web para .Net - Willy .Net

Create successful ePaper yourself

Delete template?

Save as template?