De la seguridad en Servicios Web para .Net - Willy .Net

More documents

Recommendations

Info

Puede utilizar la autenticación mediante certificados de cliente desde un servicioWeb para autenticar los siguientes elementos:Otros servicios WebAplicaciones que se comunican directamente con el servicio Web (porejemplo, aplicaciones basadas en servidores o aplicaciones de escritorio decliente)Autenticar clientes de explorador Web mediantecertificadosUn servicio Web no puede utilizar certificados de cliente para autenticar a losllamadores si éstos interactúan con una aplicación Web intermedia, puesto que no esposible reenviar el certificado del llamador original al servicio Web a través de laaplicación Web. Mientras que la aplicación Web puede autenticar a sus propiosclientes mediante certificados, dichos certificados no pueden utilizarse en el servicioWeb para la autenticación.El motivo por el que da errores este escenario “servidor a servidor” es que laaplicación Web no tiene acceso al certificado del cliente (en especial a la claveprivada) de su almacén de certificados. Este problema se muestra en la ilustración10.7.{Insert figure: CH10 - Web service server-to-server certificate problem.gif}Ilustración 10.7Autenticación mediante certificados de cliente del servicio WebUtilizar el modelo de subsistema de confianzaLa solución a esta restricción pasa por utilizar un modelo de subsistema de confianzaque, además, reporta compatibilidad para la autenticación mediante certificados en elservicio Web. Con este enfoque, el servicio Web autentica la aplicación Webmediante el certificado de la aplicación Web (no con el certificado del llamadororiginal). El servicio Web confía en la aplicación Web para autenticar a sus usuariosy llevar a cabo la autorización necesaria que garantice que sólo los llamadoresautorizados sean capaces de obtener acceso a los datos y las funciones expuestospor el servicio Web.Este enfoque queda reflejado en la ilustración 10.8.
{Insert figure: CH10 - Web Service Certificate Authentication – TrustedSubsystem.gif}Ilustración 10.8El servicio Web autentica la aplicación Web de confianzaSi la lógica de autorización del servicio Web requiere varias funciones, la aplicaciónWeb podrá enviar certificados distintos según la función a la que pertenezca elllamador. Por ejemplo, puede utilizarse un certificado para miembros de un grupoAdministradores (con permisos para actualizar los datos de una base de datosservidor) y otro certificado para el resto de los usuarios (con autorización paraoperaciones de lectura exclusivamente).Nota: en escenarios como éste existe la posibilidad de utilizar un servidor decertificados local (al que sólo pueden obtener acceso los dos servidores) paraadministrar todos los certificados de aplicación Web.En este escenario:La aplicación Web autentica a sus usuarios mediante certificados de cliente.La aplicación Web actúa como equipo selector y autoriza a sus usuarios,además de controlar el acceso al servicio Web.La aplicación Web llama al servicio Web y transmite un certificado distinto querepresenta a la aplicación (o, quizás, un rango de certificados basados en lapertenencia a funciones del llamador).El servicio Web autentica la aplicación Web y confía en la aplicación paraejecutar la autorización de cliente necesaria.Se utiliza IPSec entre el servidor de aplicaciones Web y el servidor deservicios Web a fin de proporcionar un control de acceso adicional. IPSec evitalos intentos de acceso no autorizado desde otros equipos. La autenticaciónmediante certificados del servidor de servicios Web también evita el acceso noautorizado.Implementación de solucionesPara utilizar la autenticación de certificados en el servicio Web de un escenario comoéste, utilice un proceso independiente para llamar al servicio Web y transmitir elcertificado. No deben manipularse los certificados directamente desde la aplicación
Page 1 and 2: De la seguridad en Servicios Web pa
Page 3 and 4: mecanismos de transporte y la confi
Page 5 and 6: Arquitectura de seguridad paraplata
Page 7 and 8: Estrategias de autenticación y aut
Page 9 and 10: Más informaciónSi desea obtener m
Page 11 and 12: amenaza en caso de que un intruso p
Page 13 and 14: habilitados estos protocolos en los
Page 15 and 16: En este ejemplo, el tipo de autenti
Page 17 and 18: Utilice el código presentado a con
Page 19 and 20: Deshabilitar el accesoanónimo para
Page 21 and 22: - O bien -Para utilizar laautentica
Page 23 and 24: lleguen al servicio Web. En el serv
Page 25: Obtener acceso a recursos del siste
Page 29 and 30: Una aplicación Web que se ejecuta

De la seguridad en Servicios Web para .Net - Willy .Net

Create successful ePaper yourself

Delete template?

Save as template?