2. Autenticación y Autorización
Autenticación
Acepta credenciales de un usuario
Valida las credenciales
Autorización
En función de las credenciales de
autenticación suministradas, determina el
derecho de acceso a un recurso
Puede asignarse por nombre de usuario o
por rol
3. Autenticación
Es el mecanismo que permite afirmar que la
persona que esta ingresando al sistema es quien
dice ser.
Se aceptan las credenciales ingresadas por el
usuario (usuario – contraseña) y se validan contra
una base de datos, el sistema operativo, un
servicio web, u otro mecanismo definido según el
tipo de autenticación
5. Tipos (Cont.)
Autenticación basada en Windows
Depende del sistema operativo Windows y de IIS
El usuario solicita una página Web segura y la solicitud pasa por IIS
Una vez IIS verifica las credenciales, se devuelve la página Web
segura
Autenticación basada en formularios
Las solicitudes no autenticadas son redirigidas a un formulario
HTML
El usuario proporciona credenciales y envía el formulario HTML
Una vez verificadas las credenciales, se suministra una cookie de
autenticación
Autenticación mediante Microsoft Passport
Servicio de autenticación centralizado que ofrece una única opción
de inicio de sesión
Microsoft Passport es un Servicio Web XML
6. Factores para elegir método
Sistema Operativo Servidor y Cliente
Tipo de Browser
Número de usuarios,ubicación y tipo
almacenamiento bd usuarios
Consideraciónes de deploy
Tipo de Aplicación(web site o web
services)
Sensibilidad de datos
Performace y factores de escalabilidad
Requerimientos de autorizacion (perfiles)
7. Determinando método
Anonymous and cookies
Anonymous and passport
No
Si
Anonymous
No
Si
Si
(continua…)
No
Si
No
Certificates
No
Si
Forms over SSL
Certificates
Si
No
Forms
Passport
Users in
Passport?
Users
log on?
Users in
Windows
accounts?
Personalization
required?
Interactive
user logon?
Secure
logon?
9. Métodos de autentificación
Anonymous Authentication
Basic Authentication
Digest Authentication
Integrated Windows Authentication
Certificate Authentication
Passport Authentication
Forms Authentication
Using Cookies
10. Matriz ASP.NET vs seguridad
IIS
IIS Authentication
Method
ASP.NET Authentication
Providers
Forms
Windows
Passport
None (Custom)
Basic
Integrated
Digest
Certificate Mapping
Anonymous
11. Autenticación por formulario
El cliente solicita página
Autorizado
Autenticación
ASP.NET
Forms
No
autenticado
Autenticado
Página de inicio
(los usuarios
introducen sus
credenciales)
Autenticado
Cookie de
autenticación
Autorizado
No
autenticado
Acceso
denegado
Página segura
solicitada
IIS
Nombre usuario
Contraseña
Alguien
***********
Enviar
1 2
3
46
5
7
12. Passport
elfec.com
Cliente
Passport.com
El cliente solicita una página al host1
2
3
4
5
El sitio redirige al cliente a Passport.com
El cliente es redirigido e inicia sesión en
Passport.com
Passport devuelve una
cookie con la
información del ticket
6
El cliente accede al host,
esta vez con la
información del ticket
El host devuelve un
formulario Web Form y
posiblemente una
nueva cookie que
puede leer y escribir
13. Membresia
Membership
Ayuda a administrar la autenticación de
usuarios
Una manera para validar y almacenar
credenciales de Usuario y Roles
15. Autenticación
Habilitar Tipo de autenticacion en
web.config a tipo Forms
Fijar la cookie de autenticación con
FormsAuthentication.SetAuthCookie()
Se crea un objeto User,
HttpContext.Current.User
Verifica que esta autenticado con el
objeto User ó Request.IsAuthenticated
16. Autorización
Se define a un controlador o una acción
Se usa [Authorize]
Se puede restringir por usuario y/o Rol
IsInRole() para restringir en las vistas