Herramienta Administración de sitios Web, Seguridad (Ficha)

Artículo
10/22/2014

Actualización: noviembre 2007

Utilice la ficha Seguridad de la herramienta Administración de sitios Web con el fin de administrar reglas para proteger determinados recursos de la aplicación Web. ASP.NET utiliza un sistema de seguridad que le permite restringir el acceso a determinadas cuentas de usuario o a las funciones a las que pertenecen las cuentas de usuario. Con la ficha Seguridad se administran cuentas de usuario, funciones y reglas de acceso para el sitio Web. Antes de utilizar por primera vez la ficha Seguridad, utilice el Asistente para la configuración de seguridad con el fin de configurar las opciones básicas de seguridad para el sitio Web.

La seguridad de ASP.NET se basa en los conceptos de cuentas de usuario, funciones y reglas de acceso, y le permite restringir el acceso a los recursos de la aplicación Web sólo a las cuentas de usuario que especifique. La configuración de seguridad se establece utilizando una combinación de opciones de configuración y datos almacenados en una base de datos (u otro almacén de datos). Las cuentas de usuario y las funciones que crea se almacenan en la base de datos, y las reglas de acceso se almacenan en el archivo Web.config.

Puede configurar su aplicación para que utilice los siguientes tipos de seguridad, que dependen de cómo se utilizará el sitio Web:

Autenticación basada en formularios (Desde Internet)

La autenticación basada en formularios se utiliza para sitios Web que están disponibles en Internet. La autenticación basada en formularios utiliza el sistema de suscripciones de ASP.NET para administrar las cuentas de usuario y los grupos (funciones) individuales. La información de cuenta de usuario se almacena en una base de datos local o en una base de datos de Microsoft SQL Server. Puede utilizar los controles de inicio de sesión de ASP.NET para crear una página de inicio de sesión en la que los usuarios puedan escribir sus credenciales.
Autenticación de Microsoft Windows integrada (Desde una red local)

La autenticación de Windows interactúa con la seguridad de Windows, utilizando las credenciales de inicio de sesión que los usuarios proporcionan cuando inician sesión en Windows. Por tanto, la autenticación de Windows resulta idónea para escenarios de intranet, donde los usuarios han iniciado sesión en una red basada en Windows. No tiene que crear una página de inicio de sesión, ya que los usuarios inician sesión automáticamente en su aplicación con sus credenciales de Windows.

Utilice la sección Usuarios de la ficha Seguridad para realizar las tareas siguientes:

Crear, modificar y eliminar cuentas de usuario registradas para el sitio Web.
Ver una lista de todas las cuentas de usuario registradas para el sitio Web.
Cambiar el método de autenticación utilizado por el sitio Web.

Nota:
Puede crear y administrar cuentas de usuario si eligió la opción Desde Internet como tipo de autenticación (si está utilizando autenticación basada en formularios). Si eligió la opción Desde una red local como tipo de autenticación (si está utilizando autenticación de Windows integrada), no puede administrar cuentas de usuario individuales. Si cambia el tipo de autenticación, se perderá cualquier información de usuario que haya creado. Además, puede que las reglas de acceso ya no funcionen de la manera en que las configuró. En general, sólo debe seleccionar un tipo de autenticación cuando configura el sitio Web por primera vez.

Puede crear y administrar cuentas de usuario si eligió la opción Desde Internet como tipo de autenticación (si está utilizando autenticación basada en formularios). Si eligió la opción Desde una red local como tipo de autenticación (si está utilizando autenticación de Windows integrada), no puede administrar cuentas de usuario individuales. Si cambia el tipo de autenticación, se perderá cualquier información de usuario que haya creado. Además, puede que las reglas de acceso ya no funcionen de la manera en que las configuró. En general, sólo debe seleccionar un tipo de autenticación cuando configura el sitio Web por primera vez.

Utilice la sección Funciones de la ficha Seguridad para agrupar cuentas de usuario, lo que facilita la asignación de permisos (autorización).

Utilice la sección Reglas de acceso de la ficha Seguridad para permitir o denegar el acceso a determinadas páginas a ciertas cuentas de usuario o a todas las cuentas de usuario que pertenezcan a una función especificada. Normalmente se utiliza una regla de acceso para restringir las páginas para algunas cuentas de usuario.

Crear usuarios

Puede crear y administrar cuentas de usuario si ha establecido el tipo de autenticación en Desde Internet (autenticación basada en formularios). Para cambiar los tipos de autenticación, haga clic en Seleccionar tipo de autenticación.

Para crear cuentas de usuario

Haga clic en Crear usuario y especifique la información siguiente.

Nombre de usuario

Escriba el nombre para la cuenta de usuario que desea crear.
Contraseña

Escriba la contraseña para Nombre de usuario. Las contraseñas distinguen mayúsculas de minúsculas.
Confirmar contraseña

Vuelva a escribir Contraseña.
Correo electrónico

Escriba la dirección de correo electrónico para Nombre de usuario.

La herramienta Administración de sitios Web no confirma si la dirección especificada es válida o no, sino que valida que la dirección indicada tiene el formato correcto para las direcciones de correo electrónico.
Pregunta de seguridad

Escriba una pregunta que se formulará al usuario cuando necesite restablecer o recuperar su contraseña.
Respuesta de seguridad

Escriba la respuesta a Pregunta de seguridad.
Usuario activo

Seleccione esta opción para habilitar esta cuenta de usuario como un usuario activo (actual) del sitio. Si no selecciona esta opción, la información de usuario se almacenará en la base de datos, pero el usuario no podrá iniciar sesión en el sitio Web.
Roles

Seleccione las funciones para Nombre de usuario. Crea las funciones por separado. Para obtener más información, vea la siguiente sección.

Crear funciones

Para crear funciones

En la ficha Seguridad, haga clic en Habilitar funciones.
Haga clic en Crear o administrar funciones.
En el cuadro Nuevo nombre de función, escriba un nombre para la función que va a crear, como Administrador, Miembro o Invitadoand then click Agregar función.

Para agregar cuentas de usuario a funciones

En la ficha Seguridad, haga clic en Administrar usuarios y, a continuación, haga clic en Editar usuario.
Bajo Funciones, seleccione las funciones para la cuenta de usuario.

Crear reglas de acceso

Para crear reglas de acceso

En la ficha Seguridad, haga clic en Crear reglas de acceso.

Especifique las opciones siguientes:

Seleccione un directorio para esta regla

Puede elegir crear una regla que se aplicará a todo el sitio o sólo a un subdirectorio concreto. En la presentación de la estructura de directorios para el sitio Web, seleccione el directorio al que se aplicará la regla.

Bajo La regla se aplica a, especifique cómo se aplicará la regla.

Función

Seleccione Función y, en la lista, seleccione el nombre de la función a la que se aplicará la regla de acceso.
Usuario

Seleccione Usuario y escriba el nombre de la cuenta de usuario a la que se aplicará la regla de acceso. Si está utilizando la suscripción de ASP.NET (la seguridad del sitio Web está establecida en Desde Internet), también puede utilizar la función Buscar por usuarios.
Todos los usuarios

Seleccione esta opción si desea aplicar la regla a todos los visitantes del sitio Web.

Nota:
Tenga cuidado cuando cree una regla con la opción Todos los usuarios. Puesto que las reglas se aplican por orden, puede crear involuntariamente una regla que impida que todos los usuarios tengan acceso a una carpeta.

Usuarios anónimos

Seleccione esta opción para aplicar esta regla sólo a las cuentas de usuario anónimas (no registradas).

Normalmente se elige la opción Usuarios anónimos para restringir (denegar) el acceso a los usuarios que no tienen iniciada sesión.

Permiso

Seleccione Permitir para conceder acceso al directorio especificado a la cuenta de usuario o a la función especificada.

Seleccione Denegar para no permitir el acceso al directorio especificado a la cuenta de usuario o a la función especificada.

Por ejemplo, para impedir que los usuarios que no han iniciado sesión (anónimos) vean páginas de una carpeta, haga clic en la carpeta, seleccione Usuarios anónimos y, después, seleccione Denegar.

Algunas veces, quizás tenga que crear varias reglas para la misma carpeta con el fin de establecer los permisos correctos. Por ejemplo, se podría crear una regla que denegara el acceso a las cuentas de usuario anónimas y una segunda regla que lo denegara a las cuentas de usuario cuya función fuera Invitado. De esa forma, sólo los usuarios que hayan iniciado sesión y estén en otro grupo pueden tener acceso a la carpeta.

En segundo plano

La herramienta Administración de sitios Web administra la información de seguridad en los dos lugares siguientes:

El archivo Web.config en la raíz del sitio Web.
La base de datos de proveedores de sitios que se utiliza para almacenar información de usuarios y de grupos.

Configuración de Web.config

Las opciones de Web.config que se administran a través de la ficha Seguridad corresponden a las secciones <authorization>, <roleManager> y <authentication>.

El ejemplo de código siguiente es el archivo Web.config que crea la herramienta Administración de sitios Web dentro de un subdirectorio restringido del sitio Web. El acceso al subdirectorio restringido está permitido para los administradores y denegado para los usuarios anónimos.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <system.web>
        <authorization>            <allow roles="administrators" />            <deny users="?" />        </authorization>
    </system.web>
</configuration>

Base de datos

Cuando utiliza el proveedor de datos predeterminado, la herramienta Administración de sitios Web crea entradas en la base de datos predeterminada de ASP.NET. De forma predeterminada, la herramienta Administración de sitios Web crea una base de datos en la carpeta App_Data del sitio Web. Sin embargo, mediante la ficha Proveedor puede especificar que la información de la aplicación para las cuentas de usuario y las funciones se almacene en otra base de datos (por ejemplo, recuperando la información de las funciones de la base de datos de usuarios de Windows). Para obtener información detallada, vea Herramienta Administración de sitios Web, Proveedor (Ficha).

Más información

Para obtener más información acerca de la configuración que se administra en la ficha Seguridad, en la documentación de .NET Framework, vea los temas siguientes: