Considerações de segurança do serviço COM+ SOAP
O serviço SOAP COM+ depende do servidor Web IIS para segurança. Mesmo no modo de objeto ativado pelo cliente, um RPC COM+ não transmite a identidade do cliente e, portanto, não pode fazer uso da segurança baseada em função ou de qualquer outro recurso de segurança fornecido pelo DCOM. Se você quiser ajudar a proteger a privacidade dos dados transmitidos de e para seu serviço Web XML, ou para ajudar a proteger seu serviço Web XML contra acesso não autorizado, você pode configurar o IIS para limitar o acesso a um serviço Web XML com base em um endereço IP de clientes ou para exigir que um cliente apresente um certificado digital para verificar sua identidade. Se você não limitar o acesso, qualquer cliente que possa se comunicar com seu servidor Web poderá acessar seu serviço Web XML.
Você pode configurar o IIS para criptografar suas comunicações de serviço Web XML com clientes usando protocolos SSL ou TLS de criptografia de chave pública. Se você não criptografar as comunicações SOAP, os dados trocados entre um cliente e um servidor poderão ser observados por terceiros com acesso a qualquer rede pela qual a comunicação SOAP trafegue; dependendo da topologia da rede, pode ser uma LAN pequena ou a Internet.
Por padrão, as comunicações SOAP não criptografadas são recebidas na porta HTTP (80) e as comunicações SOAP criptografadas são recebidas na porta HTTPS (443). Para que um cliente acesse com êxito um serviço Web XML, todos os firewalls entre o cliente e o servidor devem ser configurados para permitir que os pacotes TCP SYN alcancem a porta do servidor apropriada. Por outro lado, para limitar o acesso a XML Web Services, um administrador de firewall pode optar por fechar essas portas.
As configurações de segurança padrão para um componente COM exposto como um serviço Web XML diferem dependendo de qual versão do Microsoft .NET Framework está instalada. Se a versão 1.0 estiver instalada, os XML Web Services não serão seguros por padrão; Todas as chamadas são aceitas e nenhuma criptografia é usada. Se a versão 1.1 ou posterior estiver instalada, os XML Web Services serão seguros por padrão; Os chamadores devem ser autenticados e a criptografia é necessária.
Um serviço Web XML seguro não oferece suporte ao acesso WKO via WSDL. Em vez disso, os clientes que instalaram o .NET Framework versão 1.1 podem chamá-lo no modo CAO. Se clientes de terceiros precisarem acessar seu serviço Web XML via WSDL, você deverá permitir o acesso anônimo.
Um componente COM exposto como um serviço Web XML é executado por padrão com as permissões do usuário anônimo (não com as permissões de seu chamador). Você pode configurar o IIS para executar o XML Web Service como um usuário diferente; Isso às vezes pode ser necessário porque seu componente usa arquivos ou outros recursos aos quais o usuário anônimo não tem acesso. No entanto, você deve sempre tentar executar seu componente com o menor número de privilégios possível, para limitar os danos que um chamador mal-intencionado pode causar.
Observação
Como um método exposto por meio de um serviço Web XML pode ser potencialmente exposto a chamadores mal-intencionados, você sempre deve ter certeza de validar todos os parâmetros de entrada dos quais ele depende.
Para obter instruções detalhadas sobre como definir configurações de segurança específicas do XML Web Services, consulte Protegendo XML Web Services.
Para converter um aplicativo SOAP seguro em um aplicativo SOAP não seguro
- Abra a ferramenta de administração dos Serviços de Informações da Internet (IIS).
- Localize o diretório virtual do aplicativo e abra a caixa de diálogo Propriedades .
- Marque a página Habilitar conteúdo padrão na guia Documentos .
- Na guia Segurança de Diretório, clique em Editar em Controle anônimo de acesso e autenticação.
- Marque Acesso anônimo para habilitar o acesso anônimo e clique em OK.
- Clique em Editar em Comunicações seguras.
- Desmarque a caixa de seleção Exigir canal seguro (SSL).
Tópicos relacionados