Considerazioni sulla sicurezza del servizio SOAP COM+
Il servizio SOAP COM+ dipende dal server Web IIS per la sicurezza. Anche in modalità oggetto attivato dal client, una RPC COM+ non trasmette l'identità client e pertanto non può usare la sicurezza basata su ruoli o qualsiasi altra funzionalità di sicurezza fornita da DCOM. Se si desidera proteggere la privacy dei dati trasmessi da e verso il servizio Web XML o per proteggere il servizio Web XML da accessi non autorizzati, è possibile configurare IIS per limitare l'accesso a un servizio Web XML basato su un indirizzo IP client o richiedere a un client di presentare un certificato digitale per verificarne l'identità. Se non si limita l'accesso, qualsiasi client in grado di comunicare con il server Web può accedere al servizio Web XML.
È possibile configurare IIS per crittografare le comunicazioni del servizio Web XML con i client usando protocolli SSL o TLS per la crittografia della chiave pubblica. Se non si crittografa le comunicazioni SOAP, i dati scambiati tra un client e un server possono essere osservati da terze parti con accesso a qualsiasi rete su cui viaggia la comunicazione SOAP; a seconda della topologia di rete, potrebbe trattarsi di una lan di piccole dimensioni o potrebbe trattarsi di Internet.
Per impostazione predefinita, le comunicazioni SOAP non crittografate vengono ricevute sulla porta HTTP (80) e le comunicazioni SOAP crittografate vengono ricevute sulla porta HTTPS (443). Per consentire a un client di accedere correttamente a un servizio Web XML, tutti i firewall tra il client e il server devono essere configurati per consentire ai pacchetti TCP SYN di raggiungere la porta server appropriata. Al contrario, per limitare l'accesso ai servizi Web XML, un amministratore del firewall può scegliere di chiudere queste porte.
Le impostazioni di sicurezza predefinite per un componente COM esposto come servizio Web XML variano a seconda della versione di Microsoft .NET Framework installata. Se è installata la versione 1.0, i servizi Web XML non sono sicuri per impostazione predefinita; tutte le chiamate vengono accettate e non viene usata alcuna crittografia. Se è installata la versione 1.1 o successiva, i servizi Web XML sono protetti per impostazione predefinita; i chiamanti devono essere autenticati e la crittografia è necessaria.
Un servizio Web XML protetto non supporta l'accesso WKO tramite WSDL. I client che hanno installato .NET Framework versione 1.1 possono invece chiamarlo in modalità CAO. Se i client di terze parti devono accedere al servizio Web XML tramite WSDL, è necessario consentire l'accesso anonimo.
Un componente COM esposto come servizio Web XML viene eseguito per impostazione predefinita con le autorizzazioni dell'utente anonimo (non con le autorizzazioni del chiamante). È possibile configurare IIS per eseguire il servizio Web XML come utente diverso; questo può talvolta essere necessario perché il componente usa file o altre risorse a cui l'utente anonimo non ha accesso. Tuttavia, è consigliabile provare sempre a eseguire il componente con il minor numero possibile di privilegi, per limitare il danno che un chiamante malintenzionato potrebbe causare.
Nota
Poiché un metodo esposto tramite un servizio Web XML potrebbe essere potenzialmente esposto a chiamanti dannosi, è sempre necessario assicurarsi di convalidare tutti i parametri di input da cui dipende.
Per istruzioni dettagliate su come configurare impostazioni di sicurezza specifiche del servizio Web XML, vedere Protezione dei servizi Web XML.
Per convertire un'applicazione SOAP sicura in un'applicazione SOAP non protetta
- Aprire lo strumento di amministrazione di Internet Information Services (IIS).
- Individuare la directory virtuale per l'applicazione e aprire la finestra di dialogo Proprietà .
- Selezionare Abilita la pagina del contenuto predefinito nella scheda Documenti .
- Nella scheda Sicurezza directory fare clic su Modifica in Controllo di autenticazione e accesso anonimo.
- Selezionare Accesso anonimo per abilitare l'accesso anonimo e fare clic su OK.
- Fare clic su Modifica in Comunicazioni sicure.
- Deselezionare la casella di controllo Richiedi canale sicuro (SSL).
Argomenti correlati