<segurança> da <alfândegaBinding>
Especifica as opções de segurança para uma associação personalizada.
<configuração>
<system.serviceModel>
<Ligações>
<customBinding>
<vinculação>
<Segurança >
Sintaxe
<security allowSerializedSigningTokenOnReply="Boolean"
authenticationMode="AuthenticationMode"
defaultAlgorithmSuite="SecurityAlgorithmSuite"
includeTimestamp="Boolean"
requireDerivedKeys="Boolean"
keyEntropyMode="ClientEntropy/ServerEntropy/CombinedEntropy"
messageProtectionOrder="SignBeforeEncrypt/SignBeforeEncryptAndEncryptSignature/EncryptBeforeSign"
messageSecurityVersion="WSSecurityJan2004/WSSecurityXXX2005"
requireSecurityContextCancellation="Boolean"
requireSignatureConfirmation="Boolean"
securityHeaderLayout="Strict/Lax/LaxTimestampFirst/LaxTimestampLast">
<issuedTokenParameters />
<localClientSettings />
<localServiceSettings />
<secureConversationBootstrap />
</security>
Atributos e Elementos
As seções a seguir descrevem atributos, elementos filho e elementos pai
Atributos
| Atributo | Description |
|---|---|
| allowSerializedSigningTokenOnReply | Opcional. Um valor booleano que especifica se um token serializado pode ser usado na resposta. O valor predefinido é false. Ao usar uma associação dupla, a configuração padrão para true e qualquer configuração feita será ignorada. |
| authenticationMode | Opcional. Especifica o modo de autenticação usado entre o iniciador e o respondente. Veja abaixo todos os valores. A predefinição é sspiNegotiated. |
| defaultAlgorithmSuite | Opcional. Define os algoritmos de criptografia de mensagem e quebra automática de chave. Os algoritmos e os tamanhos das chaves são determinados pela SecurityAlgorithmSuite classe. Esses algoritmos são mapeados para aqueles especificados na especificação WS-SecurityPolicy (Security Policy Language). Os valores possíveis são mostrados abaixo. O valor predefinido é Basic256.Este atributo é usado quando se trabalha com uma plataforma diferente que opta por um conjunto de algoritmos diferentes do padrão. Você deve estar ciente dos pontos fortes e fracos dos algoritmos relevantes ao fazer modificações nessa configuração. Este atributo é do tipo SecurityAlgorithmSuite. |
| incluirCarimbo de data/hora | Um valor booleano que especifica se os carimbos de data/hora são incluídos em cada mensagem. A predefinição é true. |
| keyEntropyMode | Especifica a maneira como as chaves para proteger mensagens são calculadas. As chaves podem ser baseadas apenas no material da chave do cliente, apenas no material da chave de serviço ou em uma combinação de ambos. Os valores válidos são - ClientEntropy: A chave de sessão é baseada em dados-chave fornecidos pelo cliente.- ServerEntropy: A chave de sessão é baseada em dados de chave fornecidos pelo servidor.- CombinedEntropy: A chave de sessão é baseada nos dados de chave fornecidos pelo cliente e serviço.A predefinição é CombinedEntropy.Este atributo é do tipo SecurityKeyEntropyMode. |
| messageProtectionOrder | Define a ordem em que os algoritmos de segurança no nível da mensagem são aplicados à mensagem. Os valores válidos incluem o seguinte: - SignBeforeEncrypt: Assine primeiro, depois criptografe.- SignBeforeEncryptAndEncryptSignature: Assine primeiro, criptografe e depois criptografe a assinatura.- EncryptBeforeSign: Criptografe primeiro e, em seguida, assine.O valor padrão depende da versão do WS-Security que está sendo usada. O valor padrão é SignBeforeEncryptAndEncryptSignature ao usar o WS-Security 1.1. O valor padrão é SignBeforeEncrypt ao usar o WS-Security 1.0.Este atributo é do tipo MessageProtectionOrder. |
| messageSecurityVersion | Opcional. Define a versão do WS-Security que é usada. Os valores válidos incluem o seguinte: - WSSecurity11WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11 - WSSecurity10WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11BasicSecurityProfile10 - WSSecurity11WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11BasicSecurityProfile10 O padrão é WSSecurity11WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11 e pode ser expresso no XML como simplesmente Default. Este atributo é do tipo MessageSecurityVersion. |
| requireDerivedKeys | Um valor booleano que especifica se as chaves podem ser derivadas das chaves de prova originais. A predefinição é true. |
| requireSecurityContextCancellation | Opcional. Um valor booleano que especifica se o contexto de segurança deve ser cancelado e encerrado quando não for mais necessário. A predefinição é true. |
| requireSignatureConfirmation | Opcional. Um valor booleano que especifica se a confirmação de assinatura WS-Security está habilitada. Quando definido como true, as assinaturas de mensagem são confirmadas pelo respondente. Quando a associação personalizada é configurada para certificados mútuos ou é configurada para usar tokens emitidos (associações WSS 1.1), esse atributo assume como truepadrão . Caso contrário, o padrão é false.A confirmação de assinatura é usada para confirmar que o serviço está respondendo com pleno conhecimento de uma solicitação. |
| securityHeaderLayout | Opcional. Especifica a ordenação dos elementos no cabeçalho de segurança. Os valores válidos são - Strict: Os itens são adicionados ao cabeçalho de segurança de acordo com o princípio geral de "declarar antes de usar".- Lax: Os itens são adicionados ao cabeçalho de segurança em qualquer ordem que confirme a segurança da mensagem WSS: SOAP.- LaxWithTimestampFirst: Os itens são adicionados ao cabeçalho de segurança em qualquer ordem que confirme a segurança da mensagem WSS: SOAP, exceto que o primeiro elemento no cabeçalho de segurança deve ser um elemento wsse:Timestamp.- LaxWithTimestampLast: Os itens são adicionados ao cabeçalho de segurança em qualquer ordem que confirme a segurança da mensagem WSS: SOAP, exceto que o último elemento no cabeçalho de segurança deve ser um elemento wsse:Timestamp.A predefinição é Strict.Este elemento é do tipo SecurityHeaderLayout. |
atributo authenticationMode
| valor | Description |
|---|---|
| String | AnonymousForCertificateAnonymousForSslNegotiatedCertificateOverTransportIssuedTokenIssuedTokenForCertificateIssuedTokenForSslNegotiatedIssuedTokenOverTransportKerberosKerberosOverTransportMutualCertificateMutualCertificateDuplexMutualSslNegotiatedSecureConversationSspiNegotiatedUserNameForCertificateUserNameForSslNegotiatedUserNameOverTransportSspiNegotiatedOverTransport |
atributo defaultAlgorithm
| valor | Description |
|---|---|
| Básico128 | Use criptografia Aes128, Sha1 para resumo de mensagens e Rsa-oaep-mgf1p para encapsulamento de chave. |
| Básico192 | Use criptografia Aes192, Sha1 para resumo de mensagens, Rsa-oaep-mgf1p para quebra de chave. |
| Básico256 | Use criptografia Aes256, Sha1 para resumo de mensagens, Rsa-oaep-mgf1p para quebra de chave. |
| Básico256Rsa15 | Use Aes256 para criptografia de mensagens, Sha1 para resumo de mensagens e Rsa15 para quebra automática de chaves. |
| Básico192Rsa15 | Use Aes192 para criptografia de mensagens, Sha1 para resumo de mensagens e Rsa15 para quebra automática de chaves. |
| TripleDes | Use criptografia TripleDes, Sha1 para resumo de mensagens, Rsa-oaep-mgf1p para quebra de chave. |
| Básico128Rsa15 | Use Aes128 para criptografia de mensagens, Sha1 para resumo de mensagens e Rsa15 para quebra automática de chaves. |
| TripleDesRsa15 | Use criptografia TripleDes, Sha1 para resumo de mensagens e Rsa15 para encapsulamento de chaves. |
| Básico128Sha256 | Use Aes128 para criptografia de mensagens, Sha256 para resumo de mensagens e Rsa-oaep-mgf1p para quebra automática de chaves. |
| Básico192Sha256 | Use Aes192 para criptografia de mensagens, Sha256 para resumo de mensagens e Rsa-oaep-mgf1p para quebra de chave. |
| Básico256Sha256 | Use Aes256 para criptografia de mensagens, Sha256 para resumo de mensagens e Rsa-oaep-mgf1p para quebra automática de chaves. |
| TripleDesSha256 | Use TripleDes para criptografia de mensagens, Sha256 para resumo de mensagens e Rsa-oaep-mgf1p para quebra automática de chaves. |
| Básico128Sha256Rsa15 | Use Aes128 para criptografia de mensagens, Sha256 para resumo de mensagens e Rsa15 para quebra de chave. |
| Básico192Sha256Rsa15 | Use Aes192 para criptografia de mensagens, Sha256 para resumo de mensagens e Rsa15 para quebra de chave. |
| Básico256Sha256Rsa15 | Use Aes256 para criptografia de mensagens, Sha256 para resumo de mensagens e Rsa15 para quebra automática de chaves. |
| TripleDesSha256Rsa15 | Use TripleDes para criptografia de mensagens, Sha256 para resumo de mensagens e Rsa15 para quebra de chave. |
Elementos Subordinados
| Elemento | Description |
|---|---|
| <issuedTokenParameters> | Especifica um token emitido atual. Este elemento é do tipo IssuedTokenParametersElement. |
| <localClientSettings> | Especifica as configurações de segurança de um cliente local para essa associação. Este elemento é do tipo LocalClientSecuritySettingsElement. |
| <localServiceSettings> | Especifica as configurações de segurança de um serviço local para essa associação. Este elemento é do tipo LocalServiceSecuritySettingsElement. |
| <secureConversationBootstrap> | Especifica os valores padrão usados para iniciar um serviço de conversação seguro. |
Elementos Principais
| Elemento | Description |
|---|---|
| <vinculação> | Define todos os recursos de vinculação da associação personalizada. |
Observações
Para obter mais informações sobre como usar esse elemento, consulte SecurityBindingElement Authentication Modes e How to: Create a Custom Binding Using the SecurityBindingElement.
Exemplo
O exemplo a seguir demonstra como configurar a segurança usando uma associação personalizada. Ele mostra como usar uma associação personalizada para habilitar a segurança no nível da mensagem juntamente com um transporte seguro. Isso é útil quando um transporte seguro é necessário para transmitir as mensagens entre o cliente e o serviço e, simultaneamente, as mensagens devem ser seguras no nível da mensagem. Esta configuração não é suportada por associações fornecidas pelo sistema.
A configuração do serviço define uma ligação personalizada que suporta comunicação TCP protegida usando o protocolo TLS/SSL e segurança de mensagens do Windows. A associação personalizada usa um certificado de serviço para autenticar o serviço no nível de transporte e proteger as mensagens durante a transmissão entre o cliente e o serviço. Isso é feito pelo elemento de vinculação sslStreamSecurity>.< O certificado do serviço é configurado usando um comportamento de serviço.
Além disso, a associação personalizada usa segurança de mensagem com o tipo de credencial do Windows - esse é o tipo de credencial padrão. Isso é feito pelo elemento de vinculação de segurança . O cliente e o serviço são autenticados usando segurança no nível da mensagem se o mecanismo de autenticação Kerberos estiver disponível. Se o mecanismo de autenticação Kerberos não estiver disponível, a autenticação NTLM será usada. NTLM autentica o cliente para o serviço, mas não autentica o serviço para o cliente. O elemento de vinculação de segurança é configurado para usar SecureConversation authenticationType, o que resulta na criação de uma sessão de segurança no cliente e no serviço. Isso é necessário para permitir que o contrato duplex do serviço funcione. Para obter mais informações sobre como executar este exemplo, consulte Segurança de vinculação personalizada.
<configuration>
<system.serviceModel>
<services>
<service name="Microsoft.ServiceModel.Samples.CalculatorService"
behaviorConfiguration="CalculatorServiceBehavior">
<host>
<baseAddresses>
<!-- use following base address -->
<add baseAddress="net.tcp://localhost:8000/ServiceModelSamples/Service"/>
</baseAddresses>
</host>
<endpoint address=""
binding="customBinding"
bindingConfiguration="Binding1"
contract="Microsoft.ServiceModel.Samples.ICalculatorDuplex" />
<!-- the mex endpoint is exposed at net.tcp://localhost:8000/ServiceModelSamples/service/mex -->
<endpoint address="mex"
binding="mexTcpBinding"
contract="IMetadataExchange" />
</service>
</services>
<bindings>
<!-- configure a custom binding -->
<customBinding>
<binding name="Binding1">
<security authenticationMode="SecureConversation"
requireSecurityContextCancellation="true">
</security>
<textMessageEncoding messageVersion="Soap12WSAddressing10"
writeEncoding="utf-8" />
<sslStreamSecurity requireClientCertificate="false" />
<tcpTransport />
</binding>
</customBinding>
</bindings>
<!--For debugging purposes set the includeExceptionDetailInFaults attribute to true-->
<behaviors>
<serviceBehaviors>
<behavior name="CalculatorServiceBehavior">
<serviceMetadata />
<serviceDebug includeExceptionDetailInFaults="False" />
<serviceCredentials>
<serviceCertificate findValue="localhost"
storeLocation="LocalMachine"
storeName="My"
x509FindType="FindBySubjectName" />
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
</system.serviceModel>
</configuration>
Consulte também
Colabore connosco no GitHub
A origem deste conteúdo pode ser encontrada no GitHub, onde também pode criar e rever problemas e pedidos Pull. Para mais informações, consulte o nosso guia do contribuidor.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários