Autenticación y Autorizacion en .NET

1. ASP.NET
Guido Ticona Hurtado
guidoti@gmail.com

2. Autenticación y Autorización
 Autenticación
 Acepta credenciales de un usuario
 Valida las credenciales
 Autorización
 En función de las credenciales de
autenticación suministradas, determina el
derecho de acceso a un recurso
 Puede asignarse por nombre de usuario o
por rol

3. Autenticación
 Es el mecanismo que permite afirmar que la
persona que esta ingresando al sistema es quien
dice ser.
 Se aceptan las credenciales ingresadas por el
usuario (usuario – contraseña) y se validan contra
una base de datos, el sistema operativo, un
servicio web, u otro mecanismo definido según el
tipo de autenticación

4. Tipos
 Windows
 Forms
 Passport
 Otros

5. Tipos (Cont.)
 Autenticación basada en Windows
 Depende del sistema operativo Windows y de IIS
 El usuario solicita una página Web segura y la solicitud pasa por IIS
 Una vez IIS verifica las credenciales, se devuelve la página Web
segura
 Autenticación basada en formularios
 Las solicitudes no autenticadas son redirigidas a un formulario
HTML
 El usuario proporciona credenciales y envía el formulario HTML
 Una vez verificadas las credenciales, se suministra una cookie de
autenticación
 Autenticación mediante Microsoft Passport
 Servicio de autenticación centralizado que ofrece una única opción
de inicio de sesión
 Microsoft Passport es un Servicio Web XML

6. Factores para elegir método
 Sistema Operativo Servidor y Cliente
 Tipo de Browser
 Número de usuarios,ubicación y tipo
almacenamiento bd usuarios
 Consideraciónes de deploy
 Tipo de Aplicación(web site o web
services)
 Sensibilidad de datos
 Performace y factores de escalabilidad
 Requerimientos de autorizacion (perfiles)

7. Determinando método
Anonymous and cookies
Anonymous and passport
No
Si
Anonymous
No
Si
Si
(continua…)
No
Si
No
Certificates
No
Si
Forms over SSL
Certificates
Si
No
Forms
Passport
Users in
Passport?
Users
log on?
Users in
Windows
accounts?
Personalization
required?
Interactive
user logon?
Secure
logon?

8. Determinando
método(cont.)
No
Si
No Basic
Forms
Digest
Basic/SSL
Digest/SSL
Forms/SSL
Certificates
Si
No
No
Basic
NTLM
Certificates
Si
Custom Credential Mapping
Basic
Kerberos
Si
Basic
Digest
NTLM
Kerberos
Certificates
App runs on
Internet?
Secure
logon?
Delegation
required?
Servers
and clients
Win2K?
Si, Cuentas Windows

9. Métodos de autentificación
 Anonymous Authentication
 Basic Authentication
 Digest Authentication
 Integrated Windows Authentication
 Certificate Authentication
 Passport Authentication
 Forms Authentication
 Using Cookies

10. Matriz ASP.NET vs seguridad
IIS
IIS Authentication
Method
ASP.NET Authentication
Providers
Forms
Windows
Passport
None (Custom)
Basic
Integrated
Digest
Certificate Mapping
Anonymous

11. Autenticación por formulario
El cliente solicita página
Autorizado
Autenticación
ASP.NET
Forms
No
autenticado
Autenticado
Página de inicio
(los usuarios
introducen sus
credenciales)
Autenticado
Cookie de
autenticación
Autorizado
No
autenticado
Acceso
denegado
Página segura
solicitada


IIS
Nombre usuario
Contraseña
Alguien
***********
Enviar
1 2
3
46
5
7

12. Passport
elfec.com
Cliente
Passport.com
El cliente solicita una página al host1
2
3
4
5
El sitio redirige al cliente a Passport.com
El cliente es redirigido e inicia sesión en
Passport.com
Passport devuelve una
cookie con la
información del ticket
6
El cliente accede al host,
esta vez con la
información del ticket
El host devuelve un
formulario Web Form y
posiblemente una
nueva cookie que
puede leer y escribir

13. Membresia
 Membership
 Ayuda a administrar la autenticación de
usuarios
 Una manera para validar y almacenar
credenciales de Usuario y Roles

14. Autenticación Formulario
 Membership
 Custom Membership
 Clases Propias

15. Autenticación
 Habilitar Tipo de autenticacion en
web.config a tipo Forms
 Fijar la cookie de autenticación con
FormsAuthentication.SetAuthCookie()
 Se crea un objeto User,
HttpContext.Current.User
 Verifica que esta autenticado con el
objeto User ó Request.IsAuthenticated

16. Autorización
 Se define a un controlador o una acción
 Se usa [Authorize]
 Se puede restringir por usuario y/o Rol
 IsInRole() para restringir en las vistas

17. Configuración Roles
<roleManager
defaultProvider="miRolProvider"
enabled="true"
cacheRolesInCookie=“true">
<providers>
<clear />
<add name="miRolProvider" type="miRolProvider,miApp" />
</providers>
</roleManager>

18. Implementación Roles
 Heredar de RoleProvider
 Sobreescribir Método GetRolesforUser()

19. Encriptar connectionStrings
 aspnet_regiis –pef “connectionStrings”
“rutaApp” –prov
“DataProtectionConfigurationProvider”

20. Crear ConnectionStrings
string providerName = "Oracle.DataAccess.Client";
string providerString =
String.Format("DATA SOURCE=PROD;PASSWORD={1};
USER ID={0}",usr,clave);
EntityConnectionStringBuilder entityBuilder = new
EntityConnectionStringBuilder();
entityBuilder.Provider = providerName;
entityBuilder.ProviderConnectionString = providerString;
entityBuilder.Metadata =
@"res://*/Models.Comercial.csdl|res://*/Models.Comercial.ssdl|res://
*/Models.Comercial.msl";

21. Autenticación AD
<membership defaultProvider="MyADMembershipProvider">
<providers>
<add name="MyADMembershipProvider"
type="System.Web.Security.
ActiveDirectoryMembershipProvider,
System.Web, Version=2.0.0.0, Culture=neutral,
PublicKeyToken=b03f5f7f11d50a3a"
connectionStringName="ADConnectionString"
connectionUsername="testdomainadministrator"
connectionPassword="password“"/>
</providers>
</membership>
<add name="ADConnectionString"
connectionString="LDAP://testdomain.test.com/CN=Users,DC=te
stdomain,DC=test,DC=com" />

22. Autorización a directorios
<location path="">
<system.web>
<authorization>
<allow users=""/>
<deny users=""/>
</authorization>
</system.web>
</location>