Considerações de segurança do serviço COM+ SOAP

O serviço COM+ SOAP depende do servidor Web IIS para segurança. Mesmo em modo de objeto ativado pelo cliente, um RPC COM+ não transmite a identidade do cliente e, portanto, não pode fazer uso da segurança baseada em função ou qualquer outro recurso de segurança fornecido pelo DCOM. Se quiser ajudar a proteger a privacidade dos dados transmitidos de e para o seu serviço Web XML, ou para ajudar a proteger o seu serviço Web XML contra acesso não autorizado, pode configurar o IIS para limitar o acesso a um serviço Web XML com base num endereço IP de cliente ou para exigir que um cliente apresente um certificado digital para verificar a sua identidade. Se você não limitar o acesso, qualquer cliente que possa se comunicar com seu servidor Web poderá acessar seu serviço Web XML.

Você pode configurar o IIS para criptografar suas comunicações de serviço Web XML com clientes usando protocolos SSL ou TLS de criptografia de chave pública. Se você não criptografar as comunicações SOAP, os dados trocados entre um cliente e um servidor poderão ser observados por terceiros com acesso a qualquer rede pela qual a comunicação SOAP viaje; dependendo da topologia de rede, esta pode ser uma pequena LAN ou pode ser a Internet.

Por padrão, as comunicações SOAP não criptografadas são recebidas na porta HTTP (80) e as comunicações SOAP criptografadas são recebidas na porta HTTPS (443). Para que um cliente acesse com êxito um serviço Web XML, todos os firewalls entre o cliente e o servidor devem ser configurados para permitir que os pacotes TCP SYN alcancem a porta do servidor apropriada. Por outro lado, para limitar o acesso a XML Web Services, um administrador de firewall pode optar por fechar essas portas.

As configurações de segurança padrão para um componente COM exposto como um serviço Web XML diferem dependendo de qual versão do Microsoft .NET Framework está instalada. Se a versão 1.0 estiver instalada, os serviços Web XML não serão seguros por padrão; Todas as chamadas são aceites e não é utilizada encriptação. Se a versão 1.1 ou posterior estiver instalada, os XML Web Services serão seguros por padrão; Os chamadores devem ser autenticados e a criptografia é necessária.

Um serviço Web XML seguro não suporta acesso WKO via WSDL. Em vez disso, os clientes que instalaram o .NET Framework versão 1.1 podem chamá-lo no modo CAO. Se clientes de terceiros precisarem acessar seu serviço Web XML via WSDL, você deverá permitir o acesso anônimo.

Um componente COM exposto como um serviço Web XML é executado por padrão com as permissões do usuário anônimo (não com as permissões de seu chamador). Você pode configurar o IIS para executar o serviço Web XML como um usuário diferente; Às vezes, isso pode ser necessário porque seu componente usa arquivos ou outros recursos aos quais o usuário anônimo não tem acesso. No entanto, você deve sempre tentar executar seu componente com o menor número de privilégios possível, para limitar os danos que um chamador mal-intencionado pode causar.

Para obter instruções detalhadas sobre como definir configurações específicas de segurança do XML Web Services, consulte Protegendo XML Web Services.

Para converter um aplicativo SOAP seguro em um aplicativo SOAP não seguro

1. Abra a ferramenta de administração do IIS (Serviços de Informações da Internet).
2. Localize o diretório virtual do aplicativo e abra a caixa de diálogo Propriedades .
3. Marque página Ativar conteúdo padrão na guia Documentos.
4. Na guia de Segurança de Diretório, clique Editar em Controle de autenticação e acesso anônimo.
5. Marque de acesso anônimo para habilitar o acesso anônimo e clique em OK.
6. Clique Editar em Comunicações seguras.
7. Desmarque a caixa de seleção Exigir canal seguro (SSL).

Tópicos relacionados

Visão geral do serviço COM+ SOAP