Compartir a través de

enumeración WS_SECURITY_BINDING_PROPERTY_ID (webservices.h)

  • Artículo

Identifica las propiedades usadas para especificar la configuración de enlace de seguridad. La configuración de enlace de seguridad está presente en los enlaces de seguridad que se usan, a su vez, en una descripción de seguridad.

Esta enumeración se usa dentro de la estructura WS_SECURITY_BINDING_PROPERTY , que a su vez se usa en una estructura WS_SECURITY_BINDING . No todos los valores son aplicables a todos los enlaces de seguridad. Consulte las descripciones individuales para obtener una lista de enlaces de seguridad que admiten la propiedad correspondiente.

Tenga en cuenta que la enumeración relacionada WS_SECURITY_TOKEN_PROPERTY_ID define las claves para extraer campos de una instancia de token de seguridad. Por lo tanto, WS_SECURITY_BINDING_PROPERTY permite especificar la configuración de enlace de seguridad en el momento de creación del canal o del agente de escucha para influir en cómo se crea y usa un token de seguridad, mientras que WS_SECURITY_TOKEN_PROPERTY_ID permite extraer campos de un token de seguridad, normalmente un token de seguridad de un mensaje recibido cuando el canal y la seguridad son "activos".

Syntax

typedef enum {
  WS_SECURITY_BINDING_PROPERTY_REQUIRE_SSL_CLIENT_CERT = 1,
  WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE = 2,
  WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH = 3,
  WS_SECURITY_BINDING_PROPERTY_ALLOW_ANONYMOUS_CLIENTS = 4,
  WS_SECURITY_BINDING_PROPERTY_ALLOWED_IMPERSONATION_LEVEL = 5,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_SCHEME = 6,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_TARGET = 7,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_BASIC_REALM = 8,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_DIGEST_REALM = 9,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_DIGEST_DOMAIN = 10,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_KEY_SIZE = 11,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_KEY_ENTROPY_MODE = 12,
  WS_SECURITY_BINDING_PROPERTY_MESSAGE_PROPERTIES = 13,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_MAX_PENDING_CONTEXTS = 14,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_MAX_ACTIVE_CONTEXTS = 15,
  WS_SECURITY_BINDING_PROPERTY_SECURE_CONVERSATION_VERSION = 16,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_SUPPORT_RENEW = 17,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_RENEWAL_INTERVAL = 18,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_ROLLOVER_INTERVAL = 19,
  WS_SECURITY_BINDING_PROPERTY_CERT_FAILURES_TO_IGNORE = 20,
  WS_SECURITY_BINDING_PROPERTY_DISABLE_CERT_REVOCATION_CHECK = 21,
  WS_SECURITY_BINDING_PROPERTY_DISALLOWED_SECURE_PROTOCOLS = 22,
  WS_SECURITY_BINDING_PROPERTY_CERTIFICATE_VALIDATION_CALLBACK_CONTEXT = 23
} WS_SECURITY_BINDING_PROPERTY_ID;

Constantes

 
WS_SECURITY_BINDING_PROPERTY_REQUIRE_SSL_CLIENT_CERT
Valor: 1
Un BOOL que especifica si se debe exigir un certificado de cliente al usar SSL. The
el valor predeterminado es FALSE.


Esta configuración se puede especificar en las propiedades de enlace de seguridad de un
WS_SSL_TRANSPORT_SECURITY_BINDING del lado servidor.
WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE
Valor: 2
Valor WS_WINDOWS_INTEGRATED_AUTH_PACKAGE que especifica el paquete SSP específico (entre Kerberos, NTLM, SPNEGO) que se va a usar.
al realizar la autenticación integrada de Windows. El valor predeterminado es WS_WINDOWS_INTEGRATED_AUTH_PACKAGE_SPNEGO.


Esta configuración se puede especificar en las propiedades de enlace de seguridad de WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING y WS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING.
WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH
Valor: 3
Un BOOL que especifica si la autenticación del servidor es obligatoria. Actualmente, esta configuración
solo es aplicable cuando se usa la autenticación integrada de Windows basada en
Seguridad. Establecer esto en FALSE es fuertemente
no se recomienda, ya que, sin autenticación de servidor, una entidad malintencionada
enmascaramiento, ya que no se puede detectar el servidor.


El valor predeterminado es TRUE cuando se usa con WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING y FALSE cuando se usa con WS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING


Si un protocolo que no realiza la autenticación del servidor (como NTLM) es
para permitirse, esta propiedad debe establecerse en
FALSE.

Esta configuración solo se puede especificar en las propiedades de enlace de seguridad.
de un WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING del lado cliente y WS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING.
WS_SECURITY_BINDING_PROPERTY_ALLOW_ANONYMOUS_CLIENTS
Valor: 4
Un BOOL que especifica
si el servidor debe permitir que los clientes se autentiquen de forma anónima
mediante la seguridad basada en la autenticación integrada de Windows. El valor predeterminado
es FALSE.


Esta configuración solo se puede especificar en las propiedades de enlace de seguridad.
de WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING yWS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING del lado servidor.
WS_SECURITY_BINDING_PROPERTY_ALLOWED_IMPERSONATION_LEVEL
Valor: 5
Valor de SECURITY_IMPERSONATION_LEVEL que especifica el nivel de suplantación que el cliente quiere permitir al usar Windows
Autenticación integrada para comunicarse con un servicio. El nivel de suplantación predeterminado es SecurityIdentification.


Esta configuración se puede especificar en las propiedades de enlace de seguridad.
de WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING, WS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING y WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_SCHEME
Valor: 6
ULONG que especifica el modo de autenticación de encabezado HTTP que se va a usar. El valor especificado debe ser una combinación de uno o varios de
WS_HTTP_HEADER_AUTH_SCHEME_NONE, WS_HTTP_HEADER_AUTH_SCHEME_BASIC,
WS_HTTP_HEADER_AUTH_SCHEME_DIGEST, WS_HTTP_HEADER_AUTH_SCHEME_NTLM o
WS_HTTP_HEADER_AUTH_SCHEME_NEGOTIATE. Al establecer esta propiedad en un enlace usado para comunicarse
con un servidor proxy HTTP, solo se debe establecer un esquema y WS_HTTP_HEADER_AUTH_SCHEME_NONE
no se puede usar.


Como alternativa, esta propiedad puede establecerse en WS_HTTP_HEADER_AUTH_SCHEME_PASSPORT.
WS_HTTP_HEADER_AUTH_SCHEME_PASSPORT no se debe combinar con ningún otro valor y no se puede usar para
autenticarse en un servidor proxy HTTP.



WS_HTTP_HEADER_AUTH_SCHEME_NONE solo se admite en el cliente. Si se establece por sí mismo, se deshabilita la autenticación de encabezado HTTP.
Establecerlo junto con otros esquemas permite al cliente revertir a ninguna autenticación de encabezado cuando el servidor no lo requiere.
De lo contrario, si el cliente especifica varios esquemas de autenticación y el servidor no requiere autenticación, se producirá un error en la solicitud.


Al establecer un único esquema de autenticación, el cliente realizará la solicitud con ese esquema establecido. Si se establecen varios esquemas,
El cliente sondeará primero el servidor para los esquemas admitidos mediante el envío de una solicitud en blanco no autenticada. En caso de que el cliente
y el servidor comparten más de un esquema admitido, el cliente priorizará los esquemas en el orden siguiente y elegirá la primera mutuamente
compatible con una:



Cuando el esquema se establece en WS_HTTP_HEADER_AUTH_SCHEME_NEGOTIATE y se negocia la autenticación Kerberos, el nombre principal del servidor (SPN)
used se deriva del nombre DNS del servidor. Incluso cuando se omite WS_ENDPOINT_IDENTITY presentes. Para la autenticación
para que se realice correctamente, el servidor debe poder descifrar los vales de Kerberos para ese SPN.


Cuando el esquema se establece en WS_HTTP_HEADER_AUTH_SCHEME_DIGEST o WS_HTTP_HEADER_AUTH_SCHEME_BASIC, el WS_STRING_WINDOWS_INTEGRATED_AUTH_CREDENTIAL debe usarse como tipo de credencial.

Nota: El uso de "localhost", "127.0.0.1" o formas similares de hacer referencia al equipo local como dirección del servidor puede provocar errores al usar
WS_HTTP_HEADER_AUTH_SCHEME_NTLM o WS_HTTP_HEADER_AUTH_SCHEME_NEGOTIATE. Se recomienda usar el nombre de la máquina en su lugar.


Esta configuración se puede especificar en las propiedades de enlace de seguridad de WS_HTTP_HEADER_AUTH_SECURITY_BINDING.
El valor predeterminado es WS_HTTP_HEADER_AUTH_SCHEME_NEGOTIATE.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_TARGET
Valor: 7
Valor de WS_HTTP_HEADER_AUTH_TARGET que especifica el destino de autenticación del encabezado HTTP que se va a usar. Esta propiedad se puede especificar.
en el lado cliente para indicar si el enlace de seguridad de autenticación de encabezado http
es para el servidor de destino o el servidor proxy. El valor predeterminado es WS_HTTP_HEADER_AUTH_TARGET_SERVICE.


Esta configuración se puede especificar en las propiedades de enlace de seguridad de WS_HTTP_HEADER_AUTH_SECURITY_BINDING.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_BASIC_REALM
Valor: 8
Se usa un WS_STRING como dominio kerberos con el encabezado HTTP básico.
esquema de autenticación.


Esta configuración se puede especificar en las propiedades de enlace de seguridad de un .
WS_HTTP_HEADER_AUTH_SECURITY_BINDING del lado servidor.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_DIGEST_REALM
Valor: 9
Un WS_STRING que se usa como dominio kerberos con el HTTP de resumen
esquema de autenticación de encabezado.


Esta configuración se puede especificar en las propiedades de enlace de seguridad de un .
WS_HTTP_HEADER_AUTH_SECURITY_BINDING del lado servidor.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_DIGEST_DOMAIN
Valor: 10
Un WS_STRING usado como nombre de dominio con el resumen
Esquema de autenticación de encabezado HTTP.


Esta configuración se puede especificar en las propiedades de enlace de seguridad de un .
WS_HTTP_HEADER_AUTH_SECURITY_BINDING del lado servidor.
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_KEY_SIZE
Valor: 11
ULONG que especifica el tamaño de clave (en bits) del token de seguridad que se va a solicitar desde un
Emisor. Si no se especifica, el emisor decide el tamaño. Se puede usar con el WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING.
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_KEY_ENTROPY_MODE
Valor: 12
Valor de WS_SECURITY_KEY_ENTROPY_MODE que especifica cómo contribuye la entropía a la clave en clave simétrica emitida.
Fichas. El valor predeterminado es WS_SECURITY_KEY_ENTROPY_MODE_COMBINED.
Esta configuración se puede especificar en las propiedades de enlace de seguridad de la estructura WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_MESSAGE_PROPERTIES
Valor: 13
Conjunto de WS_MESSAGE_PROPERTIES que se va a especificar
al crear los dos mensajes en
se usa para el token de seguridad que obtiene el intercambio. Si esta propiedad
no se especifica, se crean los mensajes de solicitud y respuesta con el
propiedades predeterminadas del mensaje. Esta configuración se puede especificar en las propiedades de enlace de seguridad de la estructura WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_MAX_PENDING_CONTEXTS
Valor: 14
ULONG que especifica el número máximo de contextos de seguridad pendientes en el servicio que
la aplicación (o el modelo de servicio) no lo han aceptado como
Canales. El valor predeterminado es 100. La configuración se puede especificar en las propiedades de enlace de seguridad de la estructura WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_MAX_ACTIVE_CONTEXTS
Valor: 15
ULONG que especifica el número máximo de contextos de seguridad activos en el servicio. El valor predeterminado es 1000.
La configuración se puede especificar en las propiedades de enlace de seguridad de la estructura WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURE_CONVERSATION_VERSION
Valor: 16
Valor de WS_SECURE_CONVERSATION_VERSION que especifica la versión de WS-SecureConversation que se va a usar. El valor predeterminado es WS_SECURE_CONVERSATION_VERSION_FEBRUARY_2005.
Esta configuración se puede especificar en las propiedades de enlace de seguridad de la estructura WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_SUPPORT_RENEW
Valor: 17
BoOL que especifica
si se va a admitir o no la operación de renovación en contextos de seguridad establecidos. En el cliente, si se trata de
se establece en FALSE, en lugar de renovar el contexto de seguridad existente en un nuevo contexto.
se establecerá. En el servidor, todos los mensajes de renovación entrantes serán
Rechazado. El valor predeterminado es TRUE.
Esta configuración se puede especificar en las propiedades de enlace de seguridad de la estructura WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_RENEWAL_INTERVAL
Valor: 18
Estructura WS_TIMESPAN que contiene el intervalo antes del cual se debe renovar un contexto de seguridad. En el cliente, el valor predeterminado es de 10 horas.
y denota la hora después de la cual la sesión se renueva de forma proactiva. En el servidor, el valor predeterminado es de 15 horas.
y denota la duración del contexto. Se debe renovar un contexto de servidor antes de alcanzar ese límite.
Esta configuración se puede especificar en las propiedades de enlace de seguridad de .
WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING estructura.
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_ROLLOVER_INTERVAL
Valor: 19
Estructura WS_TIMESPAN que contiene el intervalo de tiempo para el que se debe aceptar un token de contexto de seguridad antiguo después de una renovación. El valor predeterminado es 5 minutos.
Este intervalo de tolerancia se proporciona para controlar sin problemas los mensajes de aplicación durante la renovación de la sesión.
Esta configuración se puede especificar en las propiedades de enlace de seguridad de .
WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING estructura.
WS_SECURITY_BINDING_PROPERTY_CERT_FAILURES_TO_IGNORE
Valor: 20
ULONG que especifica un conjunto de errores de comprobación de certificados que el cliente omite para que la comunicación con
el punto de conexión remoto se realizará correctamente, independientemente de lo que sea.
Se puede especificar cualquier combinación de los valores definidos en WS_CERT_FAILURE o 0. El valor predeterminado es WS_CERT_FAILURE_REVOCATION_OFFLINE.
Esta configuración se puede especificar en las propiedades de enlace de seguridad de .
WS_SSL_TRANSPORT_SECURITY_BINDING estructura en el cliente.


Omitir los errores de comprobación de certificados puede exponer la aplicación a posibles vulnerabilidades de seguridad.
El uso de esta propiedad debe evaluarse cuidadosamente.
WS_SECURITY_BINDING_PROPERTY_DISABLE_CERT_REVOCATION_CHECK
Valor: 21
BoOL que especifica el estado de la comprobación de revocación de certificados. Cuando se establece en TRUE, la comprobación de revocación de certificados está deshabilitada. El valor predeterminado es FALSE.
Esta configuración se puede especificar en las propiedades de enlace de seguridad de .
WS_SSL_TRANSPORT_SECURITY_BINDING estructura en el cliente.


Deshabilitar la comprobación de revocación de certificados puede exponer la aplicación a posibles vulnerabilidades de seguridad.
El uso de esta propiedad debe evaluarse cuidadosamente.
WS_SECURITY_BINDING_PROPERTY_DISALLOWED_SECURE_PROTOCOLS
Valor: 22
WS_SECURITY_BINDING_PROPERTY_CERTIFICATE_VALIDATION_CALLBACK_CONTEXT
Valor: 23
Estructura WS_CERTIFICATE_VALIDATION_CALLBACK_CONTEXT que especifica una devolución de llamada que se invocará para cada operación de solicitud de envío. Esto permite que una aplicación valide el certificado asociado a la conexión de una solicitud.

Requisitos

Requisito Value
Cliente mínimo compatible Windows 7 [aplicaciones de escritorio | Aplicaciones para UWP]
Servidor mínimo compatible Windows Server 2008 R2 [aplicaciones de escritorio | Aplicaciones para UWP]
Encabezado webservices.h