Seguridad...

22/12/2005 - 10:27 por AOG | Informe spam
Hola,
me podrías alguien aconsejar sobre la implementación de la seguridad
(autentificación, usuario y password) en una aplicación distribuida
utilizando un cliente (proyecto Windows form) y Servicio Web que expone la
capa de negocio, he estado buscando documentación y lo que se habla mucho es
la autentificación que se aplica con WSE 3.0 ya que programo con VS 2005. Mi
duda surge en aplicar este sistema ya que cuando implante mi proyecto quiero
que funcione al menos de dos formas: en el caso de que se implante en un solo
PC o una pequeña red local que no tenga el Servicio Web, es decir, que IU
ataque directamente a la capa de negocio y cuando se implante en un sistema
mayor como una Intranet (varias sucursales) si quiero que tenga el Servicio
Web por medio. Hasta ahora lo que hago es cuando quito el servicio Web
instancio directamente con las clase de negocio. Pero si intercalo la
autentificación por medio como me afectaría la seguridad pues yo quiere
seguir utilizando la autentificación tanto haya o no Servicio Web por medio.
Que sistema de seguridad o autentifiación me aconsejáis que sirva para ambos
sistema o que tenga pequeños cambios.

Un saludo.
 

Leer las respuestas

#1 CESAR DE LA TORRE [MVP]
22/12/2005 - 11:00 | Informe spam
Si estás seguro de que vas a disponer de Directorio Activo de Windows, usa
WSE 3.0 con autenticación KERBEROS, que propagaría automaticamente la
identidad del usuario cliente hacia el servidor mediante un ticket KERBEROS a
nivel de mensajes SOAP, sin tener que pasar usuario-password.
Si no dispones de Directorio Activo de Windows, pues usa un token de
seguridad de WSE 3.0 basado en usuario-password.

El primer sistema, KERBEROS, es mas transparente, pero recuerda que
necesitas ACTIVE DIRECTORY, no valen usuarios locales de Windows. Estoy
trabajando precisamente en un proyecto con WSE 3.0 y KERBEROS, así que si
tienes problemas, te ayudaría. :-)

Por último, si fueras a utilizar el WebService en Internet para usuarios
públicos o de otras empresas, utilizaría WSE 3.0 con Membership de ASP.NET
2.0 por debajo con usuarios Membership normales en SQL Server 2005, por
ejemplo.
CESAR DE LA TORRE
Software Architect
[Microsoft MVP - XML Web Services]
[MCSE] [MCT]

Renacimiento
[Microsoft GOLD Certified Partner]


"AOG" wrote:

Hola,
me podrías alguien aconsejar sobre la implementación de la seguridad
(autentificación, usuario y password) en una aplicación distribuida
utilizando un cliente (proyecto Windows form) y Servicio Web que expone la
capa de negocio, he estado buscando documentación y lo que se habla mucho es
la autentificación que se aplica con WSE 3.0 ya que programo con VS 2005. Mi
duda surge en aplicar este sistema ya que cuando implante mi proyecto quiero
que funcione al menos de dos formas: en el caso de que se implante en un solo
PC o una pequeña red local que no tenga el Servicio Web, es decir, que IU
ataque directamente a la capa de negocio y cuando se implante en un sistema
mayor como una Intranet (varias sucursales) si quiero que tenga el Servicio
Web por medio. Hasta ahora lo que hago es cuando quito el servicio Web
instancio directamente con las clase de negocio. Pero si intercalo la
autentificación por medio como me afectaría la seguridad pues yo quiere
seguir utilizando la autentificación tanto haya o no Servicio Web por medio.
Que sistema de seguridad o autentifiación me aconsejáis que sirva para ambos
sistema o que tenga pequeños cambios.

Un saludo.

Preguntas similares