structure WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING (webservices.h)
Sous-type de liaison de sécurité permettant de spécifier l’utilisation du protocole d’authentification intégrée Windows (par exemple, Kerberos, NTLM ou SPNEGO) avec le transport TCP. Un package SSP spécifique peut être choisi à l’aide de la propriété de liaison de sécurité WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE ; si cette propriété n’est pas spécifiée, SPNEGO est utilisé par défaut. L’utilisation de NTLM est fortement déconseillée en raison de sa faiblesse de sécurité (en particulier, l’absence d’authentification du serveur). Si NTLM doit être autorisé, la propriété de liaison de sécurité WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH doit être définie sur FALSE.
Cette liaison de sécurité fonctionne au niveau de la sécurité du transport et n’est prise en charge qu’avec le WS_TCP_CHANNEL_BINDING. La combinaison TCP/Windows SSPI utilise le formulaire filaire défini par le protocole NegotiateStreamprotocol et la spécification de cadrage des messages .Net.
Côté client, l’identité de sécurité du serveur cible est spécifiée à l’aide du champ identité du paramètre WS_ENDPOINT_ADDRESS fourni pendant WsOpenChannel. Si l’identité est une WS_SPN_ENDPOINT_IDENTITY ou une WS_UPN_ENDPOINT_IDENTITY, cette valeur d’identité de chaîne est utilisée directement avec le fournisseur de services partagés. Si l’identité est une WS_DNS_ENDPOINT_IDENTITY et que la valeur de son champ dns est « d1 », ou si aucune identité n’est spécifiée dans le WS_ENDPOINT_ADDRESS et le composant hôte (conformément à la section 3.2.2 de RFC2396), l’URI d’adresse est « d1 », alors la forme « host/d1 » est utilisée comme SPN du serveur. La spécification de tout autre sous-type WS_ENDPOINT_IDENTITY dans WS_ENDPOINT_ADDRESS entraîne l’échec de WsOpenChannel .
Avec cette liaison de sécurité, les propriétés de liaison de sécurité suivantes peuvent être spécifiées :
- WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE
- WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH (côté client uniquement)
- WS_SECURITY_BINDING_PROPERTY_ALLOW_ANONYMOUS_CLIENTS (côté serveur uniquement)
- WS_SECURITY_BINDING_PROPERTY_ALLOWED_IMPERSONATION_LEVEL (côté client uniquement)
Syntaxe
typedef struct _WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING {
WS_SECURITY_BINDING binding;
WS_WINDOWS_INTEGRATED_AUTH_CREDENTIAL *clientCredential;
} WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING;
Membres
binding
Type de base duquel dérivent ce sous-type de liaison de sécurité et tous les autres sous-types de liaison de sécurité.
clientCredential
Informations d’identification d’authentification intégrée Windows à utiliser pour authentifier le client. Cela est obligatoire sur le client et ne doit pas être spécifié sur le serveur.
Configuration requise
Client minimal pris en charge | Windows 7 [applications de bureau uniquement] |
Serveur minimal pris en charge | Windows Server 2008 R2 [applications de bureau uniquement] |
En-tête | webservices.h |