Ligações e Segurança
As associações fornecidas pelo sistema incluídas no Windows Communication Foundation (WCF) oferecem uma maneira rápida de programar aplicativos WCF. Com uma exceção, todas as ligações têm um esquema de segurança padrão habilitado. Este tópico ajuda você a selecionar a associação certa para suas necessidades de segurança.
Para obter uma visão geral da segurança do WCF, consulte Visão geral da segurança. Para obter mais informações sobre como programar WCF usando associações, consulte Programando segurança WCF.
Se você já selecionou uma associação, poderá saber mais sobre os comportamentos de tempo de execução associados à segurança em Comportamentos de segurança.
Algumas funções de segurança não são programáveis usando as ligações fornecidas pelo sistema. Para obter mais controle usando uma associação personalizada, consulte Recursos de segurança com ligações personalizadas.
Funções de segurança das ligações
O WCF inclui várias ligações fornecidas pelo sistema que atendem à maioria das necessidades. Se uma associação específica não for suficiente, você também poderá criar uma associação personalizada. Para obter uma lista de ligações fornecidas pelo sistema, consulte Ligações fornecidas pelo sistema. Para obter mais informações sobre ligações personalizadas, consulte Ligações personalizadas.
Cada associação no WCF tem duas formas: como uma API e como um elemento XML usado em um arquivo de configuração. Por exemplo, a WSHttpBinding (API) tem uma contrapartida no <wsHttpBinding>.
A seção a seguir lista ambos os formulários para cada associação e resume os recursos de segurança.
BásicoHttp
No código, use a BasicHttpBinding classe; na configuração, use o <basicHttpBinding>.
Esta ligação foi concebida para utilização com uma gama de tecnologias existentes, incluindo as seguintes:
ASP.NET Web services (ASMX), versão 1.
Aplicativos WSE (Web Service Enhancements).
Perfil Básico, conforme definido na especificação WS-I (Web Services Interoperability) (https://go.microsoft.com/fwlink/?LinkId=38955).
Perfil de segurança básico, conforme definido no WS-I.
Por padrão, essa associação não é segura. Ele é projetado para interoperar com serviços ASMX. Quando a segurança está habilitada, a associação é projetada para interoperação perfeita com mecanismos de segurança do IIS (Serviços de Informações da Internet), como autenticação básica, resumo e segurança integrada do Windows. Para obter mais informações, consulte Visão geral da segurança de transporte. Esta ligação suporta o seguinte:
Segurança de transporte HTTPS.
Autenticação básica HTTP.
WS-Segurança.
Para obter mais informações, consulte BasicHttpSecurity, BasicHttpMessageSecurity, BasicHttpMessageCredentialTypee BasicHttpSecurityMode.
WSHttpBinding
No código, use a WSHttpBinding classe; na configuração, use o <wsHttpBinding>.
Por padrão, essa associação implementa a especificação WS-Security e fornece interoperabilidade com serviços que implementam as especificações WS-*. Suporta o seguinte:
Segurança de transporte HTTPS.
WS-Segurança.
Proteção de transporte HTTPS com segurança de credenciais de mensagem SOAP para autenticar o chamador.
Para obter mais informações, consulte , , , MessageCredentialType, SecurityModeHttpTransportSecurity, HttpClientCredentialType, e HttpProxyCredentialType. MessageSecurityOverHttpWSHttpSecurity
WSDualHttpBinding
No código, use a WSDualHttpBinding classe; na configuração, use o <wsDualHttpBinding>.
Essa associação foi projetada para habilitar aplicativos de serviço duplex. Essa associação implementa a especificação WS-Security para segurança de transferência baseada em mensagem. A segurança do transporte não está disponível. Por padrão, ele fornece os seguintes recursos:
Implementa o WS-Reliable Messaging para confiabilidade.
Implementa o WS-Security para segurança de transferência e autenticação.
Usa HTTP para entrega de mensagens.
Usa codificação de mensagem de texto/XML.
Usando WS-Security (segurança de camada de mensagem), a associação permite configurar os seguintes parâmetros:
O conjunto de algoritmos de segurança para determinar o algoritmo criptográfico.
Opções de vinculação para o seguinte:
Fornecimento de credenciais de serviço disponíveis fora da banda no cliente.
Fornecimento de credenciais de serviço negociadas a partir do serviço como parte da configuração do canal.
Para obter mais informações, consulte WSDualHttpSecurity e WSDualHttpSecurityMode.
NetTcpBinding
No código, use a NetTcpBinding classe; na configuração, use o <netTcpBinding>.
Essa ligação é otimizada para comunicação entre máquinas. Por padrão, ele tem as seguintes características:
Implementa a segurança da camada de transporte.
Aproveita a segurança do Windows para segurança de transferência e autenticação.
Usa TCP para transporte.
Implementa a codificação de mensagens binárias.
Implementa o WS-Reliable Messaging.
As opções incluem o seguinte:
Segurança da camada de mensagem (usando WS-Security).
Segurança de transporte com credencial de mensagem — confidencialidade e integridade fornecidas pelo Transport Layer Security (TLS) sobre TCP e credenciais para autorização fornecidas pelo WS-Security.
Para obter mais informações, consulte NetTcpSecurity, TcpTransportSecurity, TcpClientCredentialType, MessageSecurityOverTcp, e MessageCredentialType.
NetNamedPipeBinding
No código, use a NetNamedPipeBinding classe; na configuração, use o <netNamedPipeBinding>.
Essa ligação é otimizada para comunicação entre processos (geralmente na mesma máquina). Por padrão, essa associação tem as seguintes características:
Usa segurança de transporte para transferência e autenticação de mensagens.
Usa pipes nomeados para entrega de mensagens.
Implementa a codificação de mensagens binárias.
Criptografia e assinatura de mensagens.
As opções incluem o seguinte:
- Autenticação usando a segurança do Windows.
Para obter mais informações, consulte NetNamedPipeSecurity, NetNamedPipeSecurityMode e NamedPipeTransportSecurity.
MsmqIntegrationBinding
No código, use a MsmqIntegrationBinding classe; na configuração, use o <msmqIntegrationBinding>.
Essa associação é otimizada para criar clientes e serviços WCF que interoperam com pontos de extremidade do Microsoft Message Queuing (MSMQ) não WCF.
Por padrão, essa associação usa segurança de transporte e fornece as seguintes características de segurança:
A segurança pode ser desativada (Nenhuma).
Segurança de transporte MSMQ (Transporte).
Para obter mais informações, consulte NetMsmqSecurity e NetMsmqSecurityMode.
NetMsmqBinding
No código, use a NetMsmqBinding classe; na configuração, use o <netMsmqBinding>.
Essa associação destina-se a ser usada ao criar serviços WCF que exigem suporte a mensagens em fila MSMQ.
Por padrão, essa associação usa segurança de transporte e fornece as seguintes características de segurança:
A segurança pode ser desativada (Nenhuma).
Segurança de transporte MSMQ (Transporte).
Segurança de mensagens baseada em SOAP (Message).
Transporte simultâneo e segurança de mensagens (ambos).
Tipos de credenciais de cliente suportados: Nenhum, Windows, UserName, Certificate, IssuedToken.
A Certificate credencial é suportada apenas quando o modo de segurança está definido como ou BothMessage.
Para obter mais informações, consulte MessageSecurityOverMsmq e MsmqTransportSecurity.
WSFederationHttpBinding
No código, use a WSFederationHttpBinding classe; na configuração, use o <wsFederationHttpBinding>.
Por padrão, essa associação usa WS-Security (segurança de camada de mensagem).
Para obter mais informações, consulte FederaçãoWSFederationHttpSecurity e WSFederationHttpSecurityMode.
Ligações personalizadas
Se nenhuma das associações fornecidas pelo sistema atender aos seus requisitos, você poderá criar uma associação personalizada com um elemento de vinculação de segurança personalizado. Para obter mais informações, consulte Recursos de segurança com ligações personalizadas.
Opções vinculativas
A tabela a seguir resume os recursos oferecidos na configuração do modo de segurança, ou seja, lista os recursos disponíveis quando o modo de segurança é definido como Transport, Messageou TransportWithMessageCredential. Use esta tabela para ajudá-lo a encontrar os recursos de segurança que seu aplicativo requer.
| Definição | Funcionalidades |
|---|---|
| Transporte | Autenticação de servidor Autenticação de cliente Segurança ponto a ponto Interoperabilidade Aceleração por hardware Débito elevado Firewall seguro Aplicativos de alta latência Recriptografia em vários saltos |
| Mensagem | Autenticação de servidor Autenticação de cliente Segurança ponto a ponto Interoperabilidade Reivindicações ricas Federação Autenticação multifator Tokens personalizados Serviço notarial/carimbo de data/hora Aplicativos de alta latência Persistência de assinaturas de mensagens |
| TransportWithMessageCredential | Autenticação de servidor Autenticação de cliente Segurança ponto a ponto Interoperabilidade Aceleração por hardware Débito elevado Declarações de clientes ricos Federação Autenticação multifator Tokens personalizados Firewall seguro Aplicativos de alta latência Recriptografia em vários saltos |
A tabela a seguir lista as associações que suportam as várias configurações de modo. Selecione uma associação na tabela a ser usada para criar seu ponto de extremidade de serviço.
| Enlace | Suporte ao modo de transporte | Suporte ao modo de mensagem | Suporte a TransportWithMessageCredential |
|---|---|---|---|
BasicHttpBinding |
Sim | Sim | Sim |
WSHttpBinding |
Sim | Sim | Sim |
WSDualHttpBinding |
No | Sim | No |
NetTcpBinding |
Sim | Sim | Sim |
NetNamedPipeBinding |
Sim | No | No |
NetMsmqBinding |
Sim | Sim | No |
MsmqIntegrationBinding |
Sim | No | No |
wsFederationHttpBinding |
No | Sim | Sim |
Credenciais de transporte em ligações
A tabela a seguir lista os tipos de credenciais de cliente disponíveis ao usar um ou BasicHttpBindingWSHttpBinding no modo de segurança de transporte.
| Tipo | Description |
|---|---|
| None | Especifica que o cliente não precisa apresentar nenhuma credencial. Isto traduz-se num cliente anónimo. |
| Básica | Autenticação básica. Para obter mais informações, consulte RFC 2617 – Autenticação HTTP: autenticação básica e digest, disponível em https://go.microsoft.com/fwlink/?LinkId=84023. |
| Resumo | Autenticação digest. Para obter mais informações, consulte RFC 2617 – Autenticação HTTP: autenticação básica e digest, disponível em https://go.microsoft.com/fwlink/?LinkId=84023. |
| NTLM | Autenticação NT LAN Manager (NTLM). |
| Windows | Autenticação do Windows. |
| Certificado | Autenticação realizada usando um certificado. |
| IssuedToken | Permite que o serviço exija que o cliente seja autenticado usando um token emitido por um serviço de token de segurança ou pelo CardSpace. Para obter mais informações, consulte Federação e tokens emitidos. |
Credenciais do cliente de mensagem em ligações
A tabela a seguir lista os tipos de credenciais de cliente disponíveis ao usar uma associação no modo de segurança de mensagem.
| Tipo | Description |
|---|---|
| None | Permite que o serviço interaja com clientes anônimos. |
| Windows | Permite que trocas de mensagens SOAP sejam feitas sob o contexto autenticado de uma credencial do Windows. |
| Nome de utilizador | Permite que o serviço exija que o cliente seja autenticado usando uma credencial de nome de usuário. Observe que quando o modo de segurança é definido como TransportWithMessageCredential, WCF não suporta o envio de um resumo de senha ou derivação de chaves usando senha e usando essas chaves para segurança de modo de mensagem. Como tal, o WCF impõe que o transporte seja protegido ao usar credenciais de nome de usuário. |
| Certificado | Permite que o serviço exija que o cliente seja autenticado usando um certificado. |
| IssuedToken | Permite que o serviço use um serviço de token de segurança para fornecer um token personalizado. |