Considérations relatives à la sécurité du service SOAP COM+
Le service SOAP COM+ dépend du serveur web IIS pour la sécurité. Même en mode objet activé par le client, un RPC COM+ ne transmet pas l’identité du client et ne peut donc pas utiliser la sécurité basée sur les rôles ou toute autre fonctionnalité de sécurité fournie par DCOM. Si vous souhaitez protéger la confidentialité des données transmises vers et depuis votre service web XML, ou pour protéger votre service web XML contre tout accès non autorisé, vous pouvez configurer IIS pour limiter l’accès à un service web XML en fonction de l’adresse IP d’un client ou pour exiger qu’un client présente un certificat numérique pour vérifier son identité. Si vous ne limitez pas l’accès, tout client pouvant communiquer avec votre serveur web peut accéder à votre service web XML.
Vous pouvez configurer IIS pour chiffrer vos communications de service web XML avec les clients à l’aide de protocoles SSL ou TLS de chiffrement à clé publique. Si vous ne chiffrez pas les communications SOAP, les données échangées entre un client et un serveur peuvent être observées par un tiers ayant accès à n’importe quel réseau sur lequel transite la communication SOAP ; selon la topologie du réseau, il peut s’agir d’un petit réseau local ou d’Internet.
Par défaut, les communications SOAP non chiffrées sont reçues au port HTTP (80) et les communications SOAP chiffrées sont reçues au port HTTPS (443). Pour qu’un client accède correctement à un service web XML, tous les pare-feu entre le client et le serveur doivent être configurés pour permettre aux paquets TCP SYN d’atteindre le port de serveur approprié. À l’inverse, pour limiter l’accès aux services web XML, un administrateur de pare-feu peut choisir de fermer ces ports.
Les paramètres de sécurité par défaut d’un composant COM exposé en tant que service web XML diffèrent selon la version de Microsoft .NET Framework installée. Si la version 1.0 est installée, les services web XML ne sont pas sécurisés par défaut ; tous les appels sont acceptés et aucun chiffrement n’est utilisé. Si la version 1.1 ou ultérieure est installée, les services web XML sont sécurisés par défaut ; Les appelants doivent être authentifiés et le chiffrement est requis.
Un service web XML sécurisé ne prend pas en charge l’accès WKO via WSDL. Au lieu de cela, les clients qui ont installé .NET Framework version 1.1 peuvent l’appeler en mode CAO. Si des clients tiers doivent accéder à votre service web XML via WSDL, vous devez autoriser l’accès anonyme.
Un composant COM exposé en tant que service web XML s’exécute par défaut avec les autorisations de l’utilisateur anonyme (et non avec les autorisations de son appelant). Vous pouvez configurer IIS pour exécuter le service web XML en tant qu’utilisateur différent . Cela peut parfois être nécessaire, car votre composant utilise des fichiers ou d’autres ressources auxquels l’utilisateur anonyme n’a pas accès. Néanmoins, vous devez toujours essayer d’exécuter votre composant avec le moins de privilèges possible, afin de limiter les dommages qu’un appelant malveillant peut causer.
Notes
Étant donné qu’une méthode que vous avez exposée via un service web XML peut potentiellement être exposée à des appelants malveillants, vous devez toujours vérifier les paramètres d’entrée dont elle dépend.
Pour obtenir des instructions détaillées sur la configuration des paramètres de sécurité du service web XML spécifiques, consultez Sécurisation des services web XML.
Pour convertir une application SOAP sécurisée en application SOAP non sécurisée
- Ouvrez l’outil d’administration iis (Internet Information Services).
- Recherchez le répertoire virtuel de l’application et ouvrez la boîte de dialogue Propriétés .
- Cochez la page Activer le contenu par défaut sous l’onglet Documents .
- Sous l’onglet Sécurité de l’annuaire , cliquez sur Modifier sous Accès anonyme et contrôle d’authentification.
- Cochez Accès anonyme pour activer l’accès anonyme, puis cliquez sur OK.
- Cliquez sur Modifier sous Communications sécurisées.
- Décochez la case Exiger un canal sécurisé (SSL).
Rubriques connexes