Propiedades de transporte WCF-WSHttp (cuadro de diálogo), Recepción, pestaña Seguridad
Use la pestaña Seguridad para definir las funcionalidades de seguridad del adaptador de recepción de WCF-WSHttp.
| Use | Para hacer esto |
|---|---|
| Modo de seguridad | Especificar el tipo de seguridad que se usa. Los valores válidos incluyen los siguientes: - Ninguno: los mensajes no se protegen durante la transferencia. - Transporte: la seguridad se proporciona mediante el transporte HTTPS. Los mensajes SOAP están protegidos mediante HTTPS. Para usar este modo, debe configurar Capa de sockets seguros (SSL) en los Servicios de Microsoft Internet Information Server (IIS). - Mensaje: La seguridad se proporciona mediante la seguridad del mensaje SOAP a través del transporte HTTP. De forma predeterminada, el cuerpo soap está cifrado y firmado. Este modo ofrece varias características, por ejemplo, si están disponibles las credenciales de servicio en el cliente fuera de banda y el conjunto de algoritmos que se va a usar. Si selecciona Ninguno, Certificado o UserName para la propiedad Tipo de credencial de cliente de mensaje en este modo de seguridad, el certificado de servicio de esta ubicación de recepción debe proporcionarse a través de la propiedad Service certificate - Thumbprint. - TransportWithMessageCredential: el transporte HTTPS proporciona integridad, confidencialidad y autenticación del servicio. Para usar este modo, debe configurar Capa de sockets seguros (SSL) en los Servicios de Microsoft Internet Information Server (IIS). El valor predeterminado es Message. |
| Tipo de credenciales de cliente de transporte | Especificar el tipo de credenciales que se va a usar a la hora de realizar la autenticación del cliente. Los valores válidos incluyen los siguientes: - Ninguno: no se produce ninguna autenticación en el nivel de transporte. - Básico: autenticación básica. En la autenticación básica, los nombres de usuario y las contraseñas se envían en texto sin formato por la red. Debe crear las cuentas de dominio o de usuario local correspondientes a las credenciales. - Resumen: autenticación implícita. Este método de autenticación funciona de forma muy similar a la autenticación básica, excepto que las contraseñas se envían a través de la red como un valor hash para obtener más seguridad. La autenticación implícita está disponible sólo en dominios con controladores de dominio que ejecutan la autenticación de sistemas operativos de Windows Server. Debe crear las cuentas de dominio o de usuario local correspondientes a las credenciales del cliente. - Ntlm: autenticación NTLM. Los clientes pueden enviar las credenciales sin enviar una contraseña a esta ubicación de recepción. Debe crear las cuentas de dominio o de usuario local correspondientes a las credenciales del cliente. - Windows: autenticación integrada de Windows. Windows Communication Foundation negocia Kerberos o NTLM; prefiere Kerberos si hay un dominio presente. Si desea usar Kerberos, es importante que el cliente identifique el servicio con un nombre principal de servicio (SPN). Debe crear las cuentas de dominio o de usuario local correspondientes a las credenciales del cliente. - Certificado: autenticación de cliente mediante el certificado de cliente. La cadena de certificados de CA de los certificados X.509 del cliente debe estar instalada en el almacén de certificados Entidades emisoras de certificados raíz de confianza del equipo de modo que se puedan autenticar los clientes en esta ubicación de recepción. Nota: La propiedad Tipo de credencial de cliente de transporte debe coincidir con el esquema de autenticación del directorio virtual IIS que hospeda esta ubicación de recepción. Por ejemplo, si la propiedad está establecida como Windows, necesita habilitar también Autenticación de Windows integrada para el directorio virtual que la aloja. De forma parecida, si la propiedad está establecida como Ninguna, debe permitir el acceso anónimo al directorio virtual que aloja esta ubicación de recepción. El valor predeterminado es Windows. |
| Tipo de credenciales de cliente de mensajes | Especificar el tipo de credenciales que se va a usar a la hora de realizar la autenticación de cliente mediante la seguridad basada en mensajes. Los valores válidos incluyen los siguientes: - Ninguno: permitir que el servicio interactúe con clientes anónimos. Indica que esta ubicación de recepción no requiere credenciales de cliente. - Windows: permita que los intercambios SOAP estén en el contexto autenticado de una credencial de Windows. Debe crear las cuentas de usuario de dominio o local correspondientes a las credenciales de cliente. - UserName: permita que esta ubicación de recepción requiera que los clientes se autentiquen con la credencial UserName . Debe crear las cuentas de dominio o de usuario local correspondientes a las credenciales del cliente. - Certificado: los clientes se autentican en esta ubicación de recepción mediante el certificado de cliente. La cadena de certificados de CA de los certificados X.509 del cliente debe estar instalada en el almacén de certificados Entidades emisoras de certificados raíz de confianza del equipo de modo que se puedan autenticar los clientes en esta ubicación de recepción. Nota: La propiedad Tipo de credencial de cliente de mensaje debe coincidir con el esquema de autenticación del directorio virtual de IIS que hospeda esta ubicación de recepción. Por ejemplo, si la propiedad está establecida como Windows, necesita habilitar también Autenticación de Windows integrada para el directorio virtual que la aloja. De forma parecida, si la propiedad está establecida como Ninguna, debe permitir el acceso anónimo al directorio virtual que aloja esta ubicación de recepción. El valor predeterminado es Windows. |
| Conjunto de algoritmos | Especificar el cifrado de mensajes y los algoritmos de encapsulado de claves. Estos algoritmos se asignan a los que se indican en la especificación Security Policy Language (WS-SecurityPolicy). Los valores posibles son: - Basic128: use el cifrado Aes128, Sha1 para la síntesis de mensajes y Rsa-oaep-mgf1p para el ajuste de claves. - Basic128Rsa15: use Aes128 para el cifrado de mensajes, Sha1 para la síntesis de mensajes y Rsa15 para el ajuste de claves. - Basic128Sha256: use Aes256 para el cifrado de mensajes, Sha256 para la síntesis de mensajes y Rsa-oaep-mgf1p para el ajuste de claves. - Basic128Sha256Rsa15: use Aes128 para el cifrado de mensajes, Sha256 para la síntesis de mensajes y Rsa15 para el ajuste de claves. - Basic192: use el cifrado Aes192, Sha1 para la síntesis de mensajes y Rsa-oaep-mgf1p para el ajuste de claves. - Basic192Rsa15: use Aes192 para el cifrado de mensajes, Sha1 para la síntesis de mensajes y Rsa15 para el ajuste de claves. - Basic192Sha256: use Aes192 para el cifrado de mensajes, Sha256 para la síntesis de mensajes y Rsa-oaep-mgf1p para el ajuste de claves. - Basic192Sha256Rsa15: use Aes192 para el cifrado de mensajes, Sha256 para la síntesis de mensajes y Rsa15 para el ajuste de claves. - Basic256: use el cifrado Aes256, Sha1 para la síntesis de mensajes y Rsa-oaep-mgf1p para el ajuste de claves. - Basic256Rsa15: use Aes256 para el cifrado de mensajes, Sha1 para la síntesis de mensajes y Rsa15 para el ajuste de claves. - Basic256Sha256: use Aes256 para el cifrado de mensajes, Sha256 para la síntesis de mensajes y Rsa-oaep-mgf1p para el ajuste de claves. - Basic256Sha256Rsa15: use Aes256 para el cifrado de mensajes, Sha256 para la síntesis de mensajes y Rsa15 para el ajuste de claves. - TripleDes: use el cifrado TripleDes, Sha1 para la síntesis de mensajes, Rsa-oaep-mgf1p para el ajuste de claves. - TripleDesRsa15: use el cifrado TripleDes, Sha1 para la síntesis de mensajes y Rsa15 para el ajuste de claves. - TripleDesSha256: use TripleDes para el cifrado de mensajes, Sha256 para la síntesis de mensajes y Rsa-oaep-mgf1p para el ajuste de claves. - TripleDesSha256Rsa15: use TripleDes para el cifrado de mensajes, Sha256 para la síntesis de mensajes y Rsa15 para el ajuste de claves. El valor predeterminado es Basic256. |
| Negociar tipo de credencial de servicio | Especificar si la credencial de servicio se suministra en este cliente fuera de banda o se obtiene del servicio en el cliente a través de un proceso de negociación. Este tipo de negociación es un precursor del intercambio de mensajes usual. Si la propiedad tipo de credencial de cliente de mensaje es igual a None, Username o Certificate, borrar esta propiedad implica que el certificado de servicio está disponible en el cliente fuera de banda y que el cliente necesita especificar el certificado de servicio. Este modo es interoperable con pilas SOAP que implementan WS-Trust y WS-SecureConversation. Si el tipo de credencial de cliente de mensaje 'property está establecido en Windows, borrar esta propiedad especifica la autenticación basada en Kerberos. Esto significa que el cliente y el servicio deben formar parte del mismo dominio Kerberos. Este modo es interoperable con pilas SOAP que implementan el perfil de token de Kerberos (tal y como se define en OASIS WSS TC), así como WS-Trust y WS-SecureConversation. Cuando está seleccionada esta propiedad, se crea una negociación SOAP de .NET que establece un túnel de intercambio SPNego a través de mensajes SOAP. El valor predeterminado es activada. |
| Establecer contexto de seguridad | Especificar si el canal de seguridad establece una sesión segura. Una sesión segura establece un token de contexto de seguridad (SCT) antes de intercambiar los mensajes de la aplicación. El valor predeterminado es activada. |
| Huella digital de certificado de servicio | Especificar la huella digital del certificado X.509 para esta ubicación de recepción que los clientes utilizan para autenticar el servicio. La huella digital puede seleccionarse desplazándose por Mi almacén, dentro de Usuario actual , con el botón Examinar . Nota: Debe instalar el certificado de servicio en la ubicación Usuario actual de la cuenta de usuario para el controlador de recepción que hospeda esta ubicación de recepción. Longitud mínima: 0 Longitud máxima: 40 El valor predeterminado es una cadena vacía. |
| Uso del inicio de sesión único | Usar el inicio de sesión único (SSO) para recuperar credenciales de cliente y emitir, así, un vale de SSO. Esta opción solo es válida para las configuraciones de seguridad que se enumeran en la sección siguiente "Compatibilidad de inicio de sesión único empresarial del adaptador de recepción WCF-WSHttp". Esta opción está desactivada de forma predeterminada. |
Compatibilidad de inicio de sesión único empresarial del adaptador de recepción WCF-WSHttp
El adaptador de recepción WCF-WSHttp puede emitir un vale de SSO desde el servidor de SSO sólo en las configuraciones de seguridad que se muestran en la siguiente tabla.
| Modo de seguridad | Tipo de credenciales de cliente de transporte | Tipo de credenciales de cliente de mensajes |
|---|---|---|
| Transporte | Basic | N/D |
| Transporte | Digest | N/D |
| Transporte | Ntlm | N/D |
| Transporte | Windows | N/D |
| Transporte | Certificate | N/D |
| Mensaje | N/D | UserName |
| TransportWithMessageCredential | N/D | UserName |
Consulte también
Administrar hosts de BizTalk e instancias de host
Cómo cambiar contraseñas y cuentas de servicio
Cómo configurar una ubicación de recepción WCF-WSHttp
Instalación de certificados para los adaptadores de WCF
Configuración de IIS para los adaptadores de recepción WCF aislados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de