De la seguridad en Servicios Web para .Net - Willy .Net

More documents

Recommendations

Info

5. ASP.NET autentica al llamador. Cuando ASP.NET se configura para laautenticación de Windows, no se efectúa ningún otro tipo de autenticaciónadicional en esta etapa e IIS se limita a autenticar al llamador.En caso de utilizare un método de autenticación distinto de Windows, el modode autenticación de ASP.NET se establece en ninguno a fin de permitir laautenticación personalizada.Nota: la autenticación mediante Formularios y la autenticación de Passport noson compatibles con los servicios Web.6. ASP.NET autoriza el acceso al servicio Web solicitado (archivo .asmx)mediante la autorización de direcciones URL y de archivos, que utilizan lospermisos NTFS asociados con el archivo .asmx para determinar si debeconcederse el acceso al llamador autenticado.Nota: la autorización de archivos sólo es compatible para la autenticación deWindows.A fin de disfrutar de una autorización de granularidad precisa, también puedenutilizarse las funciones .NET (mediante declaraciones o programación) paragarantizar que el llamador reciba autorización para obtener acceso al recursosolicitado o para llevar a cabo la operación solicitada.7. El código del servicio Web obtiene acceso a los recursos locales o remotosmediante una identidad determinada. De forma predeterminada, los serviciosWeb de ASP.NET no llevan a cabo ninguna suplantación, por lo que es lacuenta de proceso ASP.NET configurada la que proporciona la identidad.Otras opciones alternativas incluyen la identidad del llamador original o unaidentidad de servicio configurada.Equipos selectoresLos equipos selectores del servicio Web de ASP.NET son:IISSi se deshabilita la autenticación anónima de IIS, los servicios IIS sólopermitirán solicitudes de usuarios autenticados.Restricciones de dirección IPIIS puede configurarse para que acepte solicitudes únicamente de equiposcon unas direcciones IP específicas.ASP.NETEl módulo HTTP de autorización de archivos (exclusivamente para laautenticación de Windows)El módulo HTTP de autorización mediante direcciones URLPeticiones de permisos Principal y comprobaciones de funciones explícitasMás informaciónPara obtener más información acerca de los equipos selectores, consulte"Equipos selectores" en el capítulo 8, "Seguridad de ASP.NET".Para obtener más información acerca de cómo configurar la seguridad,consulte el apartado "Configurar la seguridad" que figura más adelante en estemismo capítulo.
Estrategias de autenticación y autorizaciónEn esta sección se exponen las opciones de autorización (tanto configurables comoprogramáticas) disponibles para un conjunto de esquemas de autenticaciónutilizados de forma habitual.Los esquemas de autenticación que van a describirse se indican a continuación:Autenticación de Windows con suplantaciónAutenticación de Windows sin suplantaciónAutenticación de Windows con identidad fijaAutenticación de Windows con suplantaciónLos siguientes elementos de configuración muestran cómo habilitar la autenticaciónde Windows (IIS) y la suplantación mediante declaraciones en los archivosWeb.config o Machine.config.Nota: es recomendable configurar la autenticación en función de cada servicioWeb en el archivo Web.config del servicio Web correspondiente.Con esta configuración, el código del servicio Web suplanta al llamador autenticadopor IIS. Para suplantar al llamador original es preciso desactivar el acceso anónimoen IIS. En caso de utilizar el acceso anónimo, el código del servicio Web suplanta lacuenta de usuario de Internet anónimo (que, de manera predeterminada, esIUSR_MACHINE).Seguridad configurableEl empleo de la autenticación de Windows junto con la funcionalidad de suplantaciónofrece las siguientes opciones de autorización:Listas ACL de WindowsArchivo del servicio Web (.asmx). La autorización de archivos lleva acabo comprobaciones de acceso para los recursos ASP.NET solicitados(que incluye el archivo del servicio Web .asmx) mediante el contexto deseguridad del llamador original. Es preciso que el llamador original reciba,como mínimo, acceso de lectura al archivo .asmx.Recursos a los que obtiene acceso el servicio Web. Las listas ACL deWindows de los recursos a los que obtiene acceso el servicio Web(archivos, carpetas, claves de registro, objetos de servicio del directorioActive Directory®, etc.) deben incluir una entrada de control de acceso(ACE) que conceda acceso de lectura al llamador original (puesto que elsubproceso del servicio Web utilizado para el acceso a los recursosejecuta la suplantación del llamador).Autorización mediante direcciones URL. Se configura en el archivoMachine.config o Web.config. Con la autenticación de Windows, los nombresde usuario adoptan la forma DomainName\UserName(NombreDominio\NombreUsuario) y las funciones se asignan una a una a losgrupos de Windows.
Page 1 and 2: De la seguridad en Servicios Web pa
Page 3 and 4: mecanismos de transporte y la confi
Page 5: Arquitectura de seguridad paraplata
Page 9 and 10: Más informaciónSi desea obtener m
Page 11 and 12: amenaza en caso de que un intruso p
Page 13 and 14: habilitados estos protocolos en los
Page 15 and 16: En este ejemplo, el tipo de autenti
Page 17 and 18: Utilice el código presentado a con
Page 19 and 20: Deshabilitar el accesoanónimo para
Page 21 and 22: - O bien -Para utilizar laautentica
Page 23 and 24: lleguen al servicio Web. En el serv
Page 25 and 26: Obtener acceso a recursos del siste
Page 27 and 28: {Insert figure: CH10 - Web Service
Page 29 and 30: Una aplicación Web que se ejecuta

De la seguridad en Servicios Web para .Net - Willy .Net

Create successful ePaper yourself

Delete template?

Save as template?