Partilhar via


Ligações e Segurança

As associações fornecidas pelo sistema incluídas no Windows Communication Foundation (WCF) oferecem uma maneira rápida de programar aplicativos WCF. Com uma exceção, todas as ligações têm um esquema de segurança padrão habilitado. Este tópico ajuda você a selecionar a associação certa para suas necessidades de segurança.

Para obter uma visão geral da segurança do WCF, consulte Visão geral da segurança. Para obter mais informações sobre como programar WCF usando associações, consulte Programando segurança WCF.

Se você já selecionou uma associação, poderá saber mais sobre os comportamentos de tempo de execução associados à segurança em Comportamentos de segurança.

Algumas funções de segurança não são programáveis usando as ligações fornecidas pelo sistema. Para obter mais controle usando uma associação personalizada, consulte Recursos de segurança com ligações personalizadas.

Funções de segurança das ligações

O WCF inclui várias ligações fornecidas pelo sistema que atendem à maioria das necessidades. Se uma associação específica não for suficiente, você também poderá criar uma associação personalizada. Para obter uma lista de ligações fornecidas pelo sistema, consulte Ligações fornecidas pelo sistema. Para obter mais informações sobre ligações personalizadas, consulte Ligações personalizadas.

Cada associação no WCF tem duas formas: como uma API e como um elemento XML usado em um arquivo de configuração. Por exemplo, a WSHttpBinding (API) tem uma contrapartida no <wsHttpBinding>.

A seção a seguir lista ambos os formulários para cada associação e resume os recursos de segurança.

BásicoHttp

No código, use a BasicHttpBinding classe; na configuração, use o <basicHttpBinding>.

Esta ligação foi concebida para utilização com uma gama de tecnologias existentes, incluindo as seguintes:

  • ASP.NET Web services (ASMX), versão 1.

  • Aplicativos WSE (Web Service Enhancements).

  • Perfil Básico, conforme definido na especificação WS-I (Web Services Interoperability) (https://go.microsoft.com/fwlink/?LinkId=38955).

  • Perfil de segurança básico, conforme definido no WS-I.

Por padrão, essa associação não é segura. Ele é projetado para interoperar com serviços ASMX. Quando a segurança está habilitada, a associação é projetada para interoperação perfeita com mecanismos de segurança do IIS (Serviços de Informações da Internet), como autenticação básica, resumo e segurança integrada do Windows. Para obter mais informações, consulte Visão geral da segurança de transporte. Esta ligação suporta o seguinte:

  • Segurança de transporte HTTPS.

  • Autenticação básica HTTP.

  • WS-Segurança.

Para obter mais informações, consulte BasicHttpSecurity, BasicHttpMessageSecurity, BasicHttpMessageCredentialTypee BasicHttpSecurityMode.

WSHttpBinding

No código, use a WSHttpBinding classe; na configuração, use o <wsHttpBinding>.

Por padrão, essa associação implementa a especificação WS-Security e fornece interoperabilidade com serviços que implementam as especificações WS-*. Suporta o seguinte:

  • Segurança de transporte HTTPS.

  • WS-Segurança.

  • Proteção de transporte HTTPS com segurança de credenciais de mensagem SOAP para autenticar o chamador.

Para obter mais informações, consulte , , , MessageCredentialType, SecurityModeHttpTransportSecurity, HttpClientCredentialType, e HttpProxyCredentialType. MessageSecurityOverHttpWSHttpSecurity

WSDualHttpBinding

No código, use a WSDualHttpBinding classe; na configuração, use o <wsDualHttpBinding>.

Essa associação foi projetada para habilitar aplicativos de serviço duplex. Essa associação implementa a especificação WS-Security para segurança de transferência baseada em mensagem. A segurança do transporte não está disponível. Por padrão, ele fornece os seguintes recursos:

  • Implementa o WS-Reliable Messaging para confiabilidade.

  • Implementa o WS-Security para segurança de transferência e autenticação.

  • Usa HTTP para entrega de mensagens.

  • Usa codificação de mensagem de texto/XML.

Usando WS-Security (segurança de camada de mensagem), a associação permite configurar os seguintes parâmetros:

  • O conjunto de algoritmos de segurança para determinar o algoritmo criptográfico.

  • Opções de vinculação para o seguinte:

    • Fornecimento de credenciais de serviço disponíveis fora da banda no cliente.

    • Fornecimento de credenciais de serviço negociadas a partir do serviço como parte da configuração do canal.

Para obter mais informações, consulte WSDualHttpSecurity e WSDualHttpSecurityMode.

NetTcpBinding

No código, use a NetTcpBinding classe; na configuração, use o <netTcpBinding>.

Essa ligação é otimizada para comunicação entre máquinas. Por padrão, ele tem as seguintes características:

  • Implementa a segurança da camada de transporte.

  • Aproveita a segurança do Windows para segurança de transferência e autenticação.

  • Usa TCP para transporte.

  • Implementa a codificação de mensagens binárias.

  • Implementa o WS-Reliable Messaging.

As opções incluem o seguinte:

  • Segurança da camada de mensagem (usando WS-Security).

  • Segurança de transporte com credencial de mensagem — confidencialidade e integridade fornecidas pelo Transport Layer Security (TLS) sobre TCP e credenciais para autorização fornecidas pelo WS-Security.

Para obter mais informações, consulte NetTcpSecurity, TcpTransportSecurity, TcpClientCredentialType, MessageSecurityOverTcp, e MessageCredentialType.

NetNamedPipeBinding

No código, use a NetNamedPipeBinding classe; na configuração, use o <netNamedPipeBinding>.

Essa ligação é otimizada para comunicação entre processos (geralmente na mesma máquina). Por padrão, essa associação tem as seguintes características:

  • Usa segurança de transporte para transferência e autenticação de mensagens.

  • Usa pipes nomeados para entrega de mensagens.

  • Implementa a codificação de mensagens binárias.

  • Criptografia e assinatura de mensagens.

As opções incluem o seguinte:

  • Autenticação usando a segurança do Windows.

Para obter mais informações, consulte NetNamedPipeSecurity, NetNamedPipeSecurityMode e NamedPipeTransportSecurity.

MsmqIntegrationBinding

No código, use a MsmqIntegrationBinding classe; na configuração, use o <msmqIntegrationBinding>.

Essa associação é otimizada para criar clientes e serviços WCF que interoperam com pontos de extremidade do Microsoft Message Queuing (MSMQ) não WCF.

Por padrão, essa associação usa segurança de transporte e fornece as seguintes características de segurança:

  • A segurança pode ser desativada (Nenhuma).

  • Segurança de transporte MSMQ (Transporte).

Para obter mais informações, consulte NetMsmqSecurity e NetMsmqSecurityMode.

NetMsmqBinding

No código, use a NetMsmqBinding classe; na configuração, use o <netMsmqBinding>.

Essa associação destina-se a ser usada ao criar serviços WCF que exigem suporte a mensagens em fila MSMQ.

Por padrão, essa associação usa segurança de transporte e fornece as seguintes características de segurança:

  • A segurança pode ser desativada (Nenhuma).

  • Segurança de transporte MSMQ (Transporte).

  • Segurança de mensagens baseada em SOAP (Message).

  • Transporte simultâneo e segurança de mensagens (ambos).

  • Tipos de credenciais de cliente suportados: Nenhum, Windows, UserName, Certificate, IssuedToken.

A Certificate credencial é suportada apenas quando o modo de segurança está definido como ou BothMessage.

Para obter mais informações, consulte MessageSecurityOverMsmq e MsmqTransportSecurity.

WSFederationHttpBinding

No código, use a WSFederationHttpBinding classe; na configuração, use o <wsFederationHttpBinding>.

Por padrão, essa associação usa WS-Security (segurança de camada de mensagem).

Para obter mais informações, consulte FederaçãoWSFederationHttpSecurity e WSFederationHttpSecurityMode.

Ligações personalizadas

Se nenhuma das associações fornecidas pelo sistema atender aos seus requisitos, você poderá criar uma associação personalizada com um elemento de vinculação de segurança personalizado. Para obter mais informações, consulte Recursos de segurança com ligações personalizadas.

Opções vinculativas

A tabela a seguir resume os recursos oferecidos na configuração do modo de segurança, ou seja, lista os recursos disponíveis quando o modo de segurança é definido como Transport, Messageou TransportWithMessageCredential. Use esta tabela para ajudá-lo a encontrar os recursos de segurança que seu aplicativo requer.

Definição Funcionalidades
Transporte Autenticação de servidor

Autenticação de cliente

Segurança ponto a ponto

Interoperabilidade

Aceleração por hardware

Débito elevado

Firewall seguro

Aplicativos de alta latência

Recriptografia em vários saltos
Mensagem Autenticação de servidor

Autenticação de cliente

Segurança ponto a ponto

Interoperabilidade

Reivindicações ricas

Federação

Autenticação multifator

Tokens personalizados

Serviço notarial/carimbo de data/hora

Aplicativos de alta latência

Persistência de assinaturas de mensagens
TransportWithMessageCredential Autenticação de servidor

Autenticação de cliente

Segurança ponto a ponto

Interoperabilidade

Aceleração por hardware

Débito elevado

Declarações de clientes ricos

Federação

Autenticação multifator

Tokens personalizados

Firewall seguro

Aplicativos de alta latência

Recriptografia em vários saltos

A tabela a seguir lista as associações que suportam as várias configurações de modo. Selecione uma associação na tabela a ser usada para criar seu ponto de extremidade de serviço.

Enlace Suporte ao modo de transporte Suporte ao modo de mensagem Suporte a TransportWithMessageCredential
BasicHttpBinding Sim Sim Sim
WSHttpBinding Sim Sim Sim
WSDualHttpBinding No Sim No
NetTcpBinding Sim Sim Sim
NetNamedPipeBinding Sim No No
NetMsmqBinding Sim Sim No
MsmqIntegrationBinding Sim No No
wsFederationHttpBinding No Sim Sim

Credenciais de transporte em ligações

A tabela a seguir lista os tipos de credenciais de cliente disponíveis ao usar um ou BasicHttpBindingWSHttpBinding no modo de segurança de transporte.

Tipo Description
None Especifica que o cliente não precisa apresentar nenhuma credencial. Isto traduz-se num cliente anónimo.
Básica Autenticação básica. Para obter mais informações, consulte RFC 2617 – Autenticação HTTP: autenticação básica e digest, disponível em https://go.microsoft.com/fwlink/?LinkId=84023.
Resumo Autenticação digest. Para obter mais informações, consulte RFC 2617 – Autenticação HTTP: autenticação básica e digest, disponível em https://go.microsoft.com/fwlink/?LinkId=84023.
NTLM Autenticação NT LAN Manager (NTLM).
Windows Autenticação do Windows.
Certificado Autenticação realizada usando um certificado.
IssuedToken Permite que o serviço exija que o cliente seja autenticado usando um token emitido por um serviço de token de segurança ou pelo CardSpace. Para obter mais informações, consulte Federação e tokens emitidos.

Credenciais do cliente de mensagem em ligações

A tabela a seguir lista os tipos de credenciais de cliente disponíveis ao usar uma associação no modo de segurança de mensagem.

Tipo Description
None Permite que o serviço interaja com clientes anônimos.
Windows Permite que trocas de mensagens SOAP sejam feitas sob o contexto autenticado de uma credencial do Windows.
Nome de utilizador Permite que o serviço exija que o cliente seja autenticado usando uma credencial de nome de usuário. Observe que quando o modo de segurança é definido como TransportWithMessageCredential, WCF não suporta o envio de um resumo de senha ou derivação de chaves usando senha e usando essas chaves para segurança de modo de mensagem. Como tal, o WCF impõe que o transporte seja protegido ao usar credenciais de nome de usuário.
Certificado Permite que o serviço exija que o cliente seja autenticado usando um certificado.
IssuedToken Permite que o serviço use um serviço de token de segurança para fornecer um token personalizado.

Consulte também