Verwenden Sie die Registerkarte Authentifizierung im Dialogfeld Endpunkt konfigurieren, um die Sicherheitseinstellungen für einen bestimmten Endpunkt anzuzeigen. Alle Felder in diesem Dialogfeld sind schreibgeschützt und können nicht geändert werden. Das Dialogfeld Endpunkt konfigurieren kann auf verschiedene Weise geöffnet werden.
Sie können z. B. im Dialogfeld Dienst konfigurieren die Registerkarte Endpunkte auswählen, einen bestimmten Endpunkt auswählen und dann auf Bearbeiten klicken.
Wählen Sie alternativ aus der Liste Endpunkte (in der Featureansicht) einen bestimmten Endpunkt aus, und klicken Sie dann im Kontextmenü oder im Aktionsbereich auf Konfigurieren. Sie können die Liste Endpunkte anzeigen, indem Sie einen der folgenden Vorgänge ausführen.
Doppelklicken Sie im Server-, Site- oder Anwendungsbereich in der Ansicht „Features“ auf Endpunkte, um die Endpunkte (Seite) anzuzeigen, auf der Sie die Liste Endpunkte finden.
Doppelklicken Sie im Server-, Site- oder Anwendungsbereich in der Featureansicht auf Dienste, klicken Sie mit der rechten Maustaste auf den Dienst, und klicken Sie dann auf Endpunkte anzeigen.
Die Sicherheitsmoduseinstellung legt fest, wie der Endpunkt Anforderungen empfängt und Antworten überträgt. Sie stellt den Wert des Attributs mode in der Konfigurationsdatei dar. Der angezeigte Wert hängt von der jeweiligen Bindung ab, die für diesen Endpunkt verwendet wird. Die folgenden Werte sind beispielsweise gültig:
Keine - Während der Nachrichtenübertragung wird keine Sicherheit verwendet.
Transport - Sicherheit wird auf der Transportebene implementiert. Dabei wird ein Protokoll auf Transportebene verwendet (z. B. HTTPS), um die Übertragungssicherheit zu erzielen. Der Transportmodus besitzt den Vorteil, dass er sehr effizient, weit verbreitet, auf zahlreichen Plattformen verfügbar und rechnerisch weniger komplex ist. Er besitzt jedoch den Nachteil, Nachrichten nur von Punkt zu Punkt zu sichern.
Nachricht - Sicherheit wird auf der Ebene einzelner Nachrichten implementiert. Der Nachrichtensicherheitsmodus verwendet Sicherheitsspezifikationen (z. B. WS-Sicherheit), um die Übertragungssicherheit zu implementieren. Die Nachrichtensicherheit wird direkt auf die SOAP-Nachrichten angewendet und ist in den SOAP-Umschlägen zusammen mit den Anwendungsdaten enthalten. Diese Vorgehensweise besitzt den Vorteil der Transportprotokollunabhängigkeit, kann umfangreicher erweitert werden und stellt End-to-End-Sicherheit (im Gegensatz von Punkt-zu-Punkt-Sicherheit) zur Verfügung. Sie besitzt jedoch den Nachteil, erheblich langsamer als der Transportsicherheitsmodus zu sein, weil die SOAP-Nachrichten als XML-Text vorliegen.
Anmeldeinformationstyp für den Transport:
Der Anmeldeinformationstyp für den Transport gibt den Typ der Clientanmeldeinformationen an, der beim Ausführen der Authentifizierung verwendet werden soll. Er stellt den Wert des Attributs transport in der Konfigurationsdatei dar. Die folgenden Werte sind beispielsweise gültig:
Keine - Auf der Transportebene wird keine Clientauthentifizierung verwendet.
Windows - Integrierte Windows-Authentifizierung des Clients mithilfe von Kerberos-Verhandlung. Sie müssen die Domänen- oder lokalen Benutzerkonten entsprechend den Clientanmeldeinformationen erstellen. Außerdem muss das Element userPrincipalName des Clients mit dem Benutzerkontennamen konfiguriert werden, unter dem dieser Empfangshandler ausgeführt wird.
Zertifikat - Clientauthentifizierung mithilfe von Clientzertifikaten. Damit die Clientzertifikate authentifiziert werden können, muss die Zertifikatkette der Zertifizierungsstelle für die Clientzertifikate im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen dieses Computers installiert sein.
Anmeldeinformationstyp für Nachrichten:
Der Anmeldeinformationstyp für Nachrichten gibt den Type der Clientanmeldeinformationen an, der beim Ausführen der Authentifizierung verwendet werden soll. Die Clientanmeldeinformationen werden durch das SOAP-Element Header übergeben. Es stellt den Wert des Attributs message in der Konfigurationsdatei dar. Die folgenden Werte sind beispielsweise gültig:
Keine - Ermöglicht dem Dienst Interaktionen mit anonymen Clients.
Windows - Ermöglicht die SOAP-Austauschvorgänge im authentifizierten Kontext von Windows-Anmeldeinformationen. Sie müssen die Domänen- oder lokalen Benutzerkonten entsprechend den Clientanmeldeinformationen erstellen. Außerdem muss das Element userPrincipalName des Clients mit dem Benutzerkontennamen konfiguriert werden, unter dem dieser Empfangshandler ausgeführt wird.
UserName - Clients werden mithilfe der Anmeldeinformationsangabe UserName authentifiziert. Sie müssen die Domänen- oder lokalen Benutzerkonten entsprechend den Clientanmeldeinformationen erstellen.
Zertifikat - Clients werden mithilfe eines angegebenen Clientzertifikats authentifiziert. Damit die Clientzertifikate authentifiziert werden können, muss die Zertifikatkette der Zertifizierungsstelle für die Clientzertifikate im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen dieses Computers installiert sein.
Dienstzertifikat:
Wenn die angegebene Bindung Clientauthentifizierung über Nachrichten- oder Transportsicherheit unterstützt, und der Dienst, zu dem dieser Endpunkt gehört, ein Element serverCertificate (serverCredentials-Verhalten) für diesen Endpunkt in der Konfigurationsdatei besitzt, wird Konfiguriert angezeigt. Trifft eine dieser Bedingungen nicht zu, wird Nicht konfiguriert angezeigt. Dieses Feld ist schreibgeschützt und kann nicht geändert werden.
Konfigurationsänderungen
Die folgenden Konfigurationselemente und -attribute unterstützen die in diesem Dialogfeld angezeigten Felder: security mode, transport, message und serviceCertificate.