Considerações sobre segurança do serviço COM+ SOAP
O serviço COM+ SOAP depende do servidor Web do IIS para segurança. Mesmo em modo de objeto ativado pelo cliente, um RPC COM+ não transmite a identidade do cliente e, portanto, não pode usar a segurança baseada em função ou qualquer outro recurso de segurança fornecido pelo DCOM. Se você quiser ajudar a proteger a privacidade dos dados transmitidos de e para seu serviço Web XML ou para ajudar a proteger seu serviço Web XML contra acesso não autorizado, você pode configurar o IIS para limitar o acesso a um serviço Web XML com base em um endereço IP de clientes ou exigir que um cliente apresente um certificado digital para verificar sua identidade. Se você não limitar o acesso, qualquer cliente que possa se comunicar com seu servidor Web poderá acessar seu serviço Web XML.
Você pode configurar o IIS para criptografar suas comunicações do serviço Web XML com clientes usando protocolos SSL ou TLS de criptografia de chave pública. Se você não criptografar as comunicações SOAP, os dados trocados entre um cliente e um servidor poderão ser observados por terceiros com acesso a qualquer rede pela qual a comunicação SOAP viaja; dependendo da topologia de rede, pode ser uma LAN pequena ou pode ser a Internet.
Por padrão, as comunicações SOAP não criptografadas são recebidas na porta HTTP (80) e as comunicações SOAP criptografadas são recebidas na porta HTTPS (443). Para que um cliente acesse com êxito um serviço Web XML, todos os firewalls entre o cliente e o servidor devem ser configurados para permitir que os pacotes TCP SYN cheguem à porta do servidor apropriada. Por outro lado, para limitar o acesso aos serviços Web XML, um administrador de firewall pode optar por fechar essas portas.
As configurações de segurança padrão para um componente COM exposto como um serviço Web XML diferem dependendo de qual versão do Microsoft .NET Framework está instalada. Se a versão 1.0 estiver instalada, os serviços Web XML não serão seguros por padrão; todas as chamadas são aceitas e nenhuma criptografia é usada. Se a versão 1.1 ou posterior estiver instalada, os serviços Web XML estarão seguros por padrão; os chamadores devem ser autenticados e a criptografia é necessária.
Um serviço Web XML protegido não dá suporte ao acesso WKO por meio do WSDL. Em vez disso, os clientes que instalaram o .NET Framework versão 1.1 podem chamá-lo no modo CAO. Se clientes de terceiros precisarem acessar seu serviço Web XML por meio do WSDL, você deverá permitir acesso anônimo.
Um componente COM exposto como um serviço Web XML é executado por padrão com as permissões do usuário anônimo (não com as permissões de seu chamador). Você pode configurar o IIS para executar o serviço Web XML como um usuário diferente; isso às vezes pode ser necessário porque o componente usa arquivos ou outros recursos aos quais o usuário anônimo não tem acesso. No entanto, você sempre deve tentar executar seu componente com o menor número de privilégios possível, para limitar o dano que um chamador mal-intencionado pode causar.
Nota
Como um método que você expôs por meio de um serviço Web XML pode ser potencialmente exposto a chamadores mal-intencionados, você deve sempre ter certeza de validar todos os parâmetros de entrada dos quais ele depende.
Para obter instruções detalhadas sobre como definir configurações específicas de segurança do serviço Web XML, consulte Proteção de serviços Web XML.
Converter um aplicativo SOAP seguro em um aplicativo SOAP não seguro
- Abra a ferramenta de administração dos Serviços de Informações da Internet (IIS).
- Localize o diretório virtual do aplicativo e abra a caixa de diálogo Propriedades.
- Verifique Habilitar de página de conteúdo padrão na guia documentos.
- Na guia de Segurança do Diretório, clique em Editar em de controle de autenticação e acesso anônimo.
- Verifique de acesso anônimo para habilitar o acesso anônimo e clique em OK.
- Clique em Editar em de comunicações seguras.
- Desmarque a caixa de seleção Exigir canal seguro (SSL).
Tópicos relacionados