protección ampliada

La protección ampliada es un mecanismo para enlazar un canal seguro externo, como SSL a protocolos de autenticación de canales internos, como Kerberos-APREQ y autenticación de encabezado HTTP.

El concepto de protección ampliada se define en RFC2743.

La protección ampliada, cuando está disponible, se configura automáticamente en el cliente, pero puede requerir la configuración en el servidor para escenarios no predeterminados.

Configuraciones compatibles

La protección ampliada se admite al usar WS_HTTP_CHANNEL_BINDING con enlaces de seguridad mediante protocolos de autenticación integrada de Windows, como WS_HTTP_HEADER_AUTH_SECURITY_BINDING y WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING. Se configura mediante las siguientes propiedades de seguridad:

• WS_SECURITY_PROPERTY_EXTENDED_PROTECTION_POLICY
• WS_SECURITY_PROPERTY_EXTENDED_PROTECTION_SCENARIO
• WS_SECURITY_PROPERTY_SERVICE_IDENTITIES

Se pueden realizar las siguientes configuraciones que implican la protección ampliada:

Remoto

• WS_SSL_TRANSPORT_SECURITY_BINDING se usa con WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING o WS_HTTP_HEADER_AUTH_SECURITY_BINDING. En esta configuración, el enlace de autenticación se enlaza a la conexión SSL a través de un token de protección extendida que se extrae automáticamente de la conexión SSL.
• No se usa SSL y se establece WS_HTTP_HEADER_AUTH_SECURITY_BINDING. El enlace de autenticación se enlaza a través del nombre principal del servidor (SPN), que se determina automáticamente a partir de la WS_ENDPOINT_ADDRESS.

Server

• WS_SSL_TRANSPORT_SECURITY_BINDING se usa con WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING o WS_HTTP_HEADER_AUTH_SECURITY_BINDING. En esta configuración, el enlace de autenticación se enlaza a la conexión SSL a través de un token de protección extendida que se extrae de la conexión SSL y se valida automáticamente.
• No se usa SSL y se establece WS_HTTP_HEADER_AUTH_SECURITY_BINDING. El enlace de autenticación se enlaza a través del nombre principal del servidor (SPN), que se debe proporcionar a través de WS_SECURITY_PROPERTY_SERVICE_IDENTITIES. Cuando se recibe un mensaje, el SPN se extrae y valida para obtener una coincidencia exacta con los nombres de servicio proporcionados. No proporcionar SPN es el equivalente de establecer WS_EXTENDED_PROTECTION_POLICY_NEVER.
• No se usa SSL, se especifica WS_EXTENDED_PROTECTION_SCENARIO_BOUND_SERVER y se usa WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING. En esta configuración, no se debe establecer WS_SECURITY_PROPERTY_SERVICE_IDENTITIES. No se realiza ninguna comprobación de SPN más allá de lo que se hace como parte del protocolo Kerberos.
• WS_EXTENDED_PROTECTION_SCENARIO_TERMINATED_SSL se especifica y se usa WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING o WS_HTTP_HEADER_AUTH_SECURITY_BINDING. WS_SECURITY_PROPERTY_SERVICE_IDENTITIES debe establecerse.

Plataformas compatibles

La protección ampliada se admite en plataformas compatibles con ella en el sistema operativo. Windows 7 y Windows Server 2008 R2 proporcionan compatibilidad integrada. Otras plataformas pueden requerir una actualización.

Si el sistema operativo del servidor no proporciona dicha compatibilidad, se omite cualquier información de protección ampliada enviada por el cliente. Como resultado, los clientes que usan protección ampliada pueden comunicarse con este servidor, pero se pierde la ventaja de seguridad. En el cliente, WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING combinado con WS_SSL_TRANSPORT_SECURITY_BINDING solo admite la protección ampliada en Vista y versiones posteriores.

NOTA: La protección ampliada no está disponible no impide que se use ninguna configuración determinada.

Interoperabilidad

Un servidor configurado de forma predeterminada puede comunicarse con clientes SOAP independientemente de si usan o no protección ampliada. La única excepción es windows XP y clientes WWSAPI de Windows Server 2003 que se han actualizado para admitir la protección ampliada y usar tanto WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING como WS_SSL_TRANSPORT_SECURITY_BINDING. Para admitir estos clientes WS_EXTENDED_PROTECTION_POLICY_NEVER debe especificar el servidor. Los servidores configurados con WS_EXTENDED_PROTECTION_POLICY_ALWAYS rechazarán la comunicación de los clientes que no usan protección ampliada. En el cliente, WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING combinado con WS_SSL_TRANSPORT_SECURITY_BINDING dará como resultado el mensaje que se envía mediante la codificación de transferencia fragmentada HTTP en Vista y versiones posteriores. Esto puede provocar problemas de interoperabilidad con servidores que no admiten transferencia fragmentada.

Las siguientes enumeraciones o constantes forman parte de la protección ampliada:

• WS_EXTENDED_PROTECTION_POLICY
• WS_EXTENDED_PROTECTION_SCENARIO

Las siguientes esucturas forman parte de la protección ampliada:

• WS_SERVICE_SECURITY_IDENTITIES