Autenticazione di <sicurezza>
Panoramica
L'autenticazione è il meccanismo usato per verificare l'identità dei visitatori del sito Web o dell'applicazione Web. In genere, si esegue questa operazione assegnando un nome utente e una password a un visitatore o consentendo a un visitatore di accedere in modo anonimo ai contenuti pubblici nel sito.
Anche se si usa l'autenticazione per confermare l'identità di un visitatore, si usa l'autorizzazione per controllare l'accesso del visitatore alle diverse aree del sito o dell'applicazione.
IIS 7 supporta l'autenticazione anonima, l'autenticazione di base, l'autenticazione del mapping dei certificati client, l'autenticazione digest, l'autenticazione del mapping dei certificati client IIS e autenticazione di Windows. Le modalità di autenticazione aggiuntive possono essere fornite da moduli di autenticazione di terze parti.
Dopo aver installato uno dei moduli di autenticazione, è necessario abilitare il modulo di autenticazione selezionato per il sito Web, l'applicazione Web o il servizio Web in cui si vuole usarlo.
Per impostazione predefinita, IIS 7 abilita anche l'autenticazione in modalità kernel per Windows (che usa Kerberos o NTLM), schema di autenticazione. L'autenticazione in modalità kernel offre i vantaggi seguenti:
- Le applicazioni Web possono essere eseguite usando account con privilegi inferiori.
- Se si usa l'autenticazione Kerberos, è possibile usare un account diverso dall'account predefinito associato al nome dell'entità servizio (SPN) del server.
- Se si usa l'autenticazione in modalità kernel, è possibile usare il provider Kerberos autenticazione di Windows senza eseguire una configurazione SPN esplicita.
Compatibilità
Versione | Note |
---|---|
IIS 10.0 | L'elemento <authentication> non è stato modificato in IIS 10.0. |
IIS 8,5 | L'elemento <authentication> non è stato modificato in IIS 8.5. |
IIS 8,0 | L'elemento <authentication> non è stato modificato in IIS 8.0. |
IIS 7,5 | L'elemento <authentication> non è stato modificato in IIS 7.5. |
IIS 7.0 | L'elemento <authentication> è stato introdotto in IIS 7.0. |
IIS 6.0 | N/D |
Installazione
L'elemento <authentication>
è incluso nell'installazione predefinita di IIS 7.
Procedure
Come disabilitare l'autenticazione anonima
Aprire Gestione Internet Information Services (IIS):
Se si usa Windows Server 2012 o Windows Server 2012 R2:
- Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).
Se si usa Windows 8 o Windows 8.1:
- Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
- Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).
Se si usa Windows Server 2008 o Windows Server 2008 R2:
- Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).
Se si usa Windows Vista o Windows 7:
- Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
- Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).
Nel riquadro Connessioni espandere il nome del server, espandere Siti e passare al livello nel riquadro della gerarchia che si vuole configurare, quindi fare clic sul sito Web o sull'applicazione Web.
Scorrere fino alla sezione Sicurezza nel riquadro Home e quindi fare doppio clic su Autenticazione.
Nel riquadro Autenticazione selezionare Autenticazione anonima e quindi fare clic su Disabilita nel riquadro Azioni .
Come modificare le credenziali di autenticazione anonima dall'account IUSR
Aprire Gestione Internet Information Services (IIS):
Se si usa Windows Server 2012 o Windows Server 2012 R2:
- Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).
Se si usa Windows 8 o Windows 8.1:
- Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
- Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).
Se si usa Windows Server 2008 o Windows Server 2008 R2:
- Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).
Se si usa Windows Vista o Windows 7:
- Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
- Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).
Nel riquadro Connessioni espandere il nome del server, espandere Siti e passare al livello nel riquadro della gerarchia che si vuole configurare, quindi fare clic sul sito Web o sull'applicazione Web.
Scorrere fino alla sezione Sicurezza nel riquadro Home e quindi fare doppio clic su Autenticazione.
Nel riquadro Autenticazione selezionare Autenticazione anonima e quindi fare clic su Modifica nel riquadro Azioni .
Nella finestra di dialogo Modifica credenziali di autenticazione anonima eseguire una delle operazioni seguenti:
Selezionare Identità pool di applicazioni per usare il set di identità per il pool di applicazioni e quindi fare clic su OK.
Fare clic su Imposta, quindi nella finestra di dialogo Imposta credenziali immettere il nome utente per l'account nella casella Nome utente , immettere la password per l'account nelle caselle Password e Conferma password , fare clic su OK e quindi fare di nuovo clic su OK .
Nota
Se si utilizza questa procedura, concedere solo i privilegi minimi del nuovo account nel computer server IIS.
Come abilitare autenticazione di Windows per un sito Web, un'applicazione Web o un servizio Web
Aprire Gestione Internet Information Services (IIS):
Se si usa Windows Server 2012 o Windows Server 2012 R2:
- Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).
Se si usa Windows 8 o Windows 8.1:
- Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
- Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).
Se si usa Windows Server 2008 o Windows Server 2008 R2:
- Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).
Se si usa Windows Vista o Windows 7:
- Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
- Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).
Nel riquadro Connessioni espandere il nome del server, espandere Siti e quindi il sito, l'applicazione o il servizio Web per cui si desidera abilitare autenticazione di Windows.
Scorrere fino alla sezione Sicurezza nel riquadro Home e quindi fare doppio clic su Autenticazione.
Nel riquadro Autenticazione selezionare Autenticazione di Windows e quindi fare clic su Abilita nel riquadro Azioni .
Configurazione
Il <authentication>
gruppo di sezioni è definito nella <system.webServer>
sezione di configurazione. Questo gruppo di sezioni definisce le sezioni di configurazione per tutti i tipi di autenticazione utente che è possibile installare e abilitare nel server. È possibile configurarlo a livello di server nel file ApplicationHost.config e a livello di applicazione nel file Web.config.
Attributi
Nessuno.
Elementi figlio
Elemento | Descrizione |
---|---|
anonymousAuthentication |
Elemento facoltativo. Specifica le impostazioni per l'autenticazione anonima. |
basicAuthentication |
Elemento facoltativo. Specifica le impostazioni per l'autenticazione di base. |
clientCertificateMappingAuthentication |
Elemento facoltativo. Specifica l'autenticazione del mapping dei certificati client con Active Directory. |
digestAuthentication |
Elemento facoltativo. Specifica le impostazioni per l'autenticazione digest. |
iisClientCertificateMappingAuthentication |
Elemento facoltativo. Specifica l'autenticazione del mapping dei certificati client con IIS. |
windowsAuthentication |
Elemento facoltativo. Specifica le impostazioni per autenticazione di Windows. |
Esempio di configurazione
L'esempio di configurazione seguente disabilita l'autenticazione anonima per un sito denominato Contoso, quindi abilita l'autenticazione di base e autenticazione di Windows per il sito.
<location path="Contoso">
<system.webServer>
<security>
<authentication>
<anonymousAuthentication enabled="false" />
<basicAuthentication enabled="true" defaultLogonDomain="Contoso" />
<windowsAuthentication enabled="true" />
</authentication>
</security>
</system.webServer>
</location>
Codice di esempio
Gli esempi seguenti disabilitano l'autenticazione anonima per un sito denominato Contoso, quindi abilitare l'autenticazione di base e autenticazione di Windows per il sito.
AppCmd.exe
appcmd.exe set config "Contoso" -section:system.webServer/security/authentication/anonymousAuthentication /enabled:"False" /commit:apphost
appcmd.exe set config "Contoso" -section:system.webServer/security/authentication/basicAuthentication /enabled:"True" /commit:apphost
appcmd.exe set config "Contoso" -section:system.webServer/security/authentication/windowsAuthentication /enabled:"True" /commit:apphost
Nota
È necessario assicurarsi di impostare il parametro commit su apphost
quando si usa AppCmd.exe per configurare queste impostazioni. Questa operazione esegue il commit delle impostazioni di configurazione nella sezione percorso appropriata nel file di ApplicationHost.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample {
private static void Main() {
using(ServerManager serverManager = new ServerManager()) {
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection anonymousAuthenticationSection = config.GetSection("system.webServer/security/authentication/anonymousAuthentication", "Contoso");
anonymousAuthenticationSection["enabled"] = false;
ConfigurationSection basicAuthenticationSection = config.GetSection("system.webServer/security/authentication/basicAuthentication", "Contoso");
basicAuthenticationSection["enabled"] = true;
ConfigurationSection windowsAuthenticationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Contoso");
windowsAuthenticationSection["enabled"] = true;
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim anonymousAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/anonymousAuthentication", "Contoso")
anonymousAuthenticationSection("enabled") = False
Dim basicAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/basicAuthentication", "Contoso")
basicAuthenticationSection("enabled") = True
Dim windowsAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Contoso")
windowsAuthenticationSection("enabled") = True
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var anonymousAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/anonymousAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso");
anonymousAuthenticationSection.Properties.Item("enabled").Value = false;
var basicAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/basicAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso");
basicAuthenticationSection.Properties.Item("enabled").Value = true;
var windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso");
windowsAuthenticationSection.Properties.Item("enabled").Value = true;
adminManager.CommitChanges();
VBScript
Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set anonymousAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/anonymousAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso")
anonymousAuthenticationSection.Properties.Item("enabled").Value = False
Set basicAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/basicAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso")
basicAuthenticationSection.Properties.Item("enabled").Value = True
Set windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso")
windowsAuthenticationSection.Properties.Item("enabled").Value = True
adminManager.CommitChanges()