Partager via

énumération WS_SECURITY_BINDING_PROPERTY_ID (webservices.h)

  • Article

Identifie les propriétés utilisées pour spécifier les paramètres de liaison de sécurité. Les paramètres de liaison de sécurité sont présents dans les liaisons de sécurité qui sont utilisées, à leur tour, dans une description de sécurité.

Cette énumération est utilisée dans la structure WS_SECURITY_BINDING_PROPERTY , qui est à son tour utilisée dans une structure WS_SECURITY_BINDING . Toutes les valeurs ne s’appliquent pas à toutes les liaisons de sécurité. Consultez les descriptions individuelles pour obtenir la liste des liaisons de sécurité qui prennent en charge la propriété respective.

Notez que l’énumération associée WS_SECURITY_TOKEN_PROPERTY_ID définit les clés permettant d’extraire les champs d’un jeton de sécurité instance. Ainsi, WS_SECURITY_BINDING_PROPERTY permet de spécifier des paramètres de liaison de sécurité au moment de la création du canal/de l’écouteur pour influencer la façon dont un jeton de sécurité est créé et utilisé, tandis que WS_SECURITY_TOKEN_PROPERTY_ID permet d’extraire des champs d’un jeton de sécurité ( généralement un jeton de sécurité à partir d’un message reçu lorsque le canal et la sécurité sont « en direct ».

Syntax

typedef enum {
  WS_SECURITY_BINDING_PROPERTY_REQUIRE_SSL_CLIENT_CERT = 1,
  WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE = 2,
  WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH = 3,
  WS_SECURITY_BINDING_PROPERTY_ALLOW_ANONYMOUS_CLIENTS = 4,
  WS_SECURITY_BINDING_PROPERTY_ALLOWED_IMPERSONATION_LEVEL = 5,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_SCHEME = 6,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_TARGET = 7,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_BASIC_REALM = 8,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_DIGEST_REALM = 9,
  WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_DIGEST_DOMAIN = 10,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_KEY_SIZE = 11,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_KEY_ENTROPY_MODE = 12,
  WS_SECURITY_BINDING_PROPERTY_MESSAGE_PROPERTIES = 13,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_MAX_PENDING_CONTEXTS = 14,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_MAX_ACTIVE_CONTEXTS = 15,
  WS_SECURITY_BINDING_PROPERTY_SECURE_CONVERSATION_VERSION = 16,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_SUPPORT_RENEW = 17,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_RENEWAL_INTERVAL = 18,
  WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_ROLLOVER_INTERVAL = 19,
  WS_SECURITY_BINDING_PROPERTY_CERT_FAILURES_TO_IGNORE = 20,
  WS_SECURITY_BINDING_PROPERTY_DISABLE_CERT_REVOCATION_CHECK = 21,
  WS_SECURITY_BINDING_PROPERTY_DISALLOWED_SECURE_PROTOCOLS = 22,
  WS_SECURITY_BINDING_PROPERTY_CERTIFICATE_VALIDATION_CALLBACK_CONTEXT = 23
} WS_SECURITY_BINDING_PROPERTY_ID;

Constantes

 
WS_SECURITY_BINDING_PROPERTY_REQUIRE_SSL_CLIENT_CERT
Valeur : 1
BoOL qui spécifie si un certificat client doit être demandé lors de l’utilisation de SSL. The
la valeur par défaut est FALSE.


Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité d’un
WS_SSL_TRANSPORT_SECURITY_BINDING côté serveur.
WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE
Valeur : 2
Valeur WS_WINDOWS_INTEGRATED_AUTH_PACKAGE qui spécifie le package SSP spécifique (parmi Kerberos, NTLM, SPNEGO) à utiliser
lors de l’exécution de l’authentification intégrée Windows. La valeur par défaut est WS_WINDOWS_INTEGRATED_AUTH_PACKAGE_SPNEGO.


Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité de WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING et WS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING.
WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH
Valeur : 3
BoOL qui spécifie si l’authentification du serveur est obligatoire. Actuellement, ce paramètre
s’applique uniquement lors de l’utilisation de l’authentification intégrée Windows basée sur
Sécurité. Définir cette valeur sur FALSE est fortement
découragé, car, sans authentification du serveur, une partie malveillante
Impossible de détecter la masquage en tant que serveur.


La valeur par défaut est TRUElorsqu’elle est utilisée avec WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING et FALSE lorsqu’elle est utilisée avec WS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING


Si un protocole qui n’effectue pas d’authentification serveur (par exemple, NTLM) est
pour être autorisée, cette propriété doit être définie sur
FALSE.

Ce paramètre peut être spécifié uniquement dans les propriétés de liaison de sécurité
d’une WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING et d’un WS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING côté client.
WS_SECURITY_BINDING_PROPERTY_ALLOW_ANONYMOUS_CLIENTS
Valeur : 4
Une valeur d’ordre qui spécifie
si le serveur doit autoriser les clients authentifiés de manière anonyme
à l’aide de la sécurité basée sur l’authentification intégrée Windows. Valeur par défaut
a la valeur FALSE.


Ce paramètre peut être spécifié uniquement dans les propriétés de liaison de sécurité
d’une WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING et d’une WS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING côté serveur.
WS_SECURITY_BINDING_PROPERTY_ALLOWED_IMPERSONATION_LEVEL
Valeur : 5
Valeur SECURITY_IMPERSONATION_LEVEL qui spécifie le niveau d’emprunt d’identité que le client souhaite autoriser lors de l’utilisation de Windows
Authentification intégrée pour communiquer avec un service. Le niveau d’emprunt d’identité par défaut est SecurityIdentification.


Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité
WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING,WS_NAMEDPIPE_SSPI_TRANSPORT_SECURITY_BINDING et WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_SCHEME
Valeur : 6
ULONG qui spécifie le mode d’authentification de l’en-tête HTTP à utiliser. La valeur spécifiée doit être une combinaison d’un ou plusieurs de
WS_HTTP_HEADER_AUTH_SCHEME_NONE, WS_HTTP_HEADER_AUTH_SCHEME_BASIC,
WS_HTTP_HEADER_AUTH_SCHEME_DIGEST, WS_HTTP_HEADER_AUTH_SCHEME_NTLM ou
WS_HTTP_HEADER_AUTH_SCHEME_NEGOTIATE. Lors de la définition de cette propriété sur une liaison utilisée pour communiquer
avec un serveur proxy HTTP, un seul schéma doit être défini et WS_HTTP_HEADER_AUTH_SCHEME_NONE
ne peut pas être utilisé.


Vous pouvez également définir cette propriété sur WS_HTTP_HEADER_AUTH_SCHEME_PASSPORT.
WS_HTTP_HEADER_AUTH_SCHEME_PASSPORT ne doit pas être combiné avec une autre valeur et ne peut pas être utilisé pour
s’authentifier auprès d’un serveur proxy HTTP.



WS_HTTP_HEADER_AUTH_SCHEME_NONE est pris en charge uniquement sur le client. Sa définition seule désactive l’authentification d’en-tête HTTP.
Le fait de le définir conjointement avec d’autres schémas permet au client de revenir à aucune authentification d’en-tête lorsque le serveur n’en a pas besoin.
Sinon, si le client spécifie plusieurs schémas d’authentification et que le serveur ne nécessite aucune authentification, la demande échoue.


Lors de la définition d’un schéma d’authentification unique, le client effectue la requête avec ce schéma défini. Si plusieurs schémas sont définis,
Le client sonde d’abord le serveur à la recherche des schémas pris en charge en envoyant une demande vide non authentifiée. Le client doit-il
et partagent plusieurs schémas pris en charge par le serveur, le client hiérarchise les schémas dans l’ordre suivant et choisit le premier mutuellement
pris en charge :



Lorsque le schéma est défini sur WS_HTTP_HEADER_AUTH_SCHEME_NEGOTIATE et que l’authentification Kerberos est négociée, le nom du principal du serveur (SPN)
used est dérivé du nom DNS du serveur. Même lorsque la WS_ENDPOINT_IDENTITY présente est ignorée. Pour l’authentification
Pour réussir, le serveur doit être en mesure de déchiffrer les tickets Kerberos pour ce SPN.


Lorsque le schéma est défini sur WS_HTTP_HEADER_AUTH_SCHEME_DIGEST ou WS_HTTP_HEADER_AUTH_SCHEME_BASIC, le WS_STRING_WINDOWS_INTEGRATED_AUTH_CREDENTIAL doit être utilisé comme type d’informations d’identification.

Remarque : l’utilisation de « localhost », « 127.0.0.1 » ou d’une méthode similaire pour faire référence à l’ordinateur local en tant qu’adresse de serveur peut entraîner des échecs lors de l’utilisation de
WS_HTTP_HEADER_AUTH_SCHEME_NTLM ou WS_HTTP_HEADER_AUTH_SCHEME_NEGOTIATE. Il est recommandé d’utiliser le nom de l’ordinateur à la place.


Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité de WS_HTTP_HEADER_AUTH_SECURITY_BINDING.
La valeur par défaut est WS_HTTP_HEADER_AUTH_SCHEME_NEGOTIATE.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_TARGET
Valeur : 7
Valeur WS_HTTP_HEADER_AUTH_TARGET qui spécifie la cible d’authentification d’en-tête HTTP à utiliser. Cette propriété peut être spécifiée
côté client pour indiquer si la liaison de sécurité d’authentification d’en-tête http
est destiné au serveur cible ou au serveur proxy. La valeur par défaut est WS_HTTP_HEADER_AUTH_TARGET_SERVICE.


Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité de WS_HTTP_HEADER_AUTH_SECURITY_BINDING.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_BASIC_REALM
Valeur : 8
Un WS_STRING est utilisé comme domaine avec l’en-tête HTTP de base
schéma d’authentification.


Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité d’un
WS_HTTP_HEADER_AUTH_SECURITY_BINDING côté serveur.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_DIGEST_REALM
Valeur : 9
Un WS_STRING utilisé comme domaine avec le http digest
schéma d’authentification d’en-tête.


Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité d’un
WS_HTTP_HEADER_AUTH_SECURITY_BINDING côté serveur.
WS_SECURITY_BINDING_PROPERTY_HTTP_HEADER_AUTH_DIGEST_DOMAIN
Valeur : 10
Un WS_STRING utilisé comme nom de domaine avec la synthèse
Schéma d’authentification d’en-tête HTTP.


Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité d’un
WS_HTTP_HEADER_AUTH_SECURITY_BINDING côté serveur.
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_KEY_SIZE
Valeur : 11
ULONG qui spécifie la taille de clé (en bits) du jeton de sécurité à demander à un
Émetteur. S’il n’est pas spécifié, l’émetteur décide de la taille. Peut être utilisé avec le WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING.
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_KEY_ENTROPY_MODE
Valeur : 12
Valeur WS_SECURITY_KEY_ENTROPY_MODE qui spécifie la façon dont l’entropie contribue à la clé dans la clé symétrique émise
Jetons. La valeur par défaut est WS_SECURITY_KEY_ENTROPY_MODE_COMBINED.
Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité de la structure WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_MESSAGE_PROPERTIES
Valeur : 13
Ensemble de WS_MESSAGE_PROPERTIES à spécifier
lors de la création des deux messages à
être utilisé pour l’obtention d’un échange de jeton de sécurité. Si cette propriété
n’est pas spécifié, les messages de demande et de réponse sont créés avec le
propriétés de message par défaut. Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité de la structure WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_MAX_PENDING_CONTEXTS
Valeur : 14
ULONG qui spécifie le nombre maximal de contextes de sécurité en attente sur le service qui
n’ont pas été acceptés par l’application (ou le modèle de service) en tant que
Canaux. La valeur par défaut est 100. Le paramètre peut être spécifié dans les propriétés de liaison de sécurité de la structure WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_MAX_ACTIVE_CONTEXTS
Valeur : 15
ULONG qui spécifie le nombre maximal de contextes de sécurité actifs sur le service. La valeur par défaut est 1000.
Le paramètre peut être spécifié dans les propriétés de liaison de sécurité de la structure WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURE_CONVERSATION_VERSION
Valeur : 16
Valeur WS_SECURE_CONVERSATION_VERSION qui spécifie la version de WS-SecureConversation à utiliser. La valeur par défaut est WS_SECURE_CONVERSATION_VERSION_FEBRUARY_2005.
Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité de la structure WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_SUPPORT_RENEW
Valeur : 17
BoOL qui spécifie
s’il faut ou non prendre en charge l’opération de renouvellement sur des contextes de sécurité établis. Sur le client, si c’est
défini sur FALSE, au lieu de renouveler le contexte de sécurité existant, un nouveau contexte
sera établi. Sur le serveur, tous les messages de renouvellement entrants seront
Rejeté. La valeur par défaut est TRUE.
Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité de la structure WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING .
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_RENEWAL_INTERVAL
Valeur : 18
Une structure WS_TIMESPAN qui contient l’intervalle avant lequel un contexte de sécurité doit être renouvelé. Sur le client, la valeur par défaut est de 10 heures
et indique l’heure après laquelle la session est renouvelée de manière proactive. Sur le serveur, la valeur par défaut est de 15 heures
et désigne la durée de vie du contexte. Un contexte de serveur doit être renouvelé avant que cette limite soit atteinte.
Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité du
WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING structure.
WS_SECURITY_BINDING_PROPERTY_SECURITY_CONTEXT_ROLLOVER_INTERVAL
Valeur : 19
Une structure WS_TIMESPAN qui contient l’intervalle de temps pendant lequel un ancien jeton de contexte de sécurité doit être accepté après un renouvellement. La valeur par défaut est 5 minutes.
Cet intervalle de tolérance est fourni pour gérer en douceur les messages d’application pendant le renouvellement de la session.
Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité du
WS_SECURITY_CONTEXT_MESSAGE_SECURITY_BINDING structure.
WS_SECURITY_BINDING_PROPERTY_CERT_FAILURES_TO_IGNORE
Valeur : 20
ULONG qui spécifie un ensemble d’échecs de vérification de certificat qui sont ignorés par le client afin que la communication avec
le point de terminaison distant réussit quoi qu’il en soit.
Toute combinaison des valeurs définies dans WS_CERT_FAILURE ou 0 peut être spécifiée. La valeur par défaut est WS_CERT_FAILURE_REVOCATION_OFFLINE.
Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité du
WS_SSL_TRANSPORT_SECURITY_BINDING structure sur le client.


Ignorer les échecs de vérification de certificat peut exposer l’application à des vulnérabilités de sécurité potentielles.
L’utilisation de cette propriété doit être évaluée avec soin.
WS_SECURITY_BINDING_PROPERTY_DISABLE_CERT_REVOCATION_CHECK
Valeur : 21
BoOL qui spécifie l’état de la vérification de la révocation de certificat. Lorsque la valeur est TRUE, la vérification de la révocation de certificat est désactivée. La valeur par défaut est FALSE.
Ce paramètre peut être spécifié dans les propriétés de liaison de sécurité du
WS_SSL_TRANSPORT_SECURITY_BINDING structure sur le client.


La désactivation de la vérification de la révocation des certificats peut exposer l’application à des vulnérabilités de sécurité potentielles.
L’utilisation de cette propriété doit être évaluée avec soin.
WS_SECURITY_BINDING_PROPERTY_DISALLOWED_SECURE_PROTOCOLS
Valeur : 22
WS_SECURITY_BINDING_PROPERTY_CERTIFICATE_VALIDATION_CALLBACK_CONTEXT
Valeur : 23
Une structure WS_CERTIFICATE_VALIDATION_CALLBACK_CONTEXT qui spécifie un rappel qui sera appelé pour chaque opération de demande d’envoi. Cela permet à une application de valider le certificat associé à la connexion d’une requête.

Configuration requise

Condition requise Valeur
Client minimal pris en charge Windows 7 [applications de bureau | Applications UWP]
Serveur minimal pris en charge Windows Server 2008 R2 [applications de bureau | Applications UWP]
En-tête webservices.h