In WCF verwendete Sicherheitsbegriffe
Windows Communication Foundation (WCF)-Sicherheit baut auf Begriffen auf, die bereits in Gebrauch sind und in diversen Sicherheitsinfrastrukturen eingesetzt werden.
WCF unterstützt einige jener Infrastrukturen, z. B. Secure Sockets Layer (SSL) über HTTP (HTTPS). WCF geht allerdings über die Unterstützung bestehender Sicherheitsinfrastrukturen hinaus, indem neuere interoperable Sicherheitsstandards (wie WS-Sicherheit) über SOAP-codierte Nachrichten implementiert werden. Egal ob Sie bestehende Mechanismen oder neue interoperable Standards verwenden, die dahinter stehenden Sicherheitsbegriffe sind gleich. Daher ist ein Verständnis der Begriffe hinter den bestehenden Infrastrukturen und den neueren Standards entscheidend für die Implementierung des besten Sicherheitsmodells für eine Anwendung. Dieses Thema gibt einen Überblick über die vorhandenen Begriffe und Mechanismen und schließt Links zu ausführlicheren Informationen ein.
Einführung zur Sicherheit für Webdienste
MSDN enthält eine wertvolle Einführung zu Sicherheitsbegriffen, insbesondere in Bezug auf WCF. Diese finden Sie in einem Satz an Beispielen und praktischen Lernprogrammen unter Szenarien, Muster und Implementierungsleitfaden für Web Services Enhancements (WSE) 3.0 (möglicherweise in englischer Sprache).
Authentifizierung, Autorisierung, Vertraulichkeit und Integrität für Webdienste
Weitere Informationen zu diesen grundlegenden Begriffen und ihrer Implementierung in Windows finden Sie unter Gewusst wie: Erstellen eines benutzerdefinierten Kontos zum Ausführen von ASP.NET 1.1 (möglicherweise in englischer Sprache).
Branchenweite Sicherheitsspezifikationen
Public Key-Infrastruktur
Als Public Key-Infrastruktur (PKI) bezeichnet man ein System aus digitalen Zertifikaten, Zertifizierungsstellen und anderen Registrierungsstellen, das die Gültigkeit einer jeden Partei, die an einer elektronischen Aktivität beteiligt ist, durch die Nutzung von Public Key-Kryptologie verifiziert und authentifiziert. Weitere Informationen finden Sie unter Einführung in die Windows 2000-Public Key-Infrastruktur (möglicherweise in englischer Sprache).
Kerberos-Protokoll
Das Kerberos-Protokoll ist eine Spezifikation für die Erstellung eines Sicherheitsmechanismus, der Benutzer auf einer Windows-Domäne authentifiziert. Es ermöglicht einem Benutzer, auf einer Domäne einen sicheren Kontext mit anderen Entitäten zu erstellen. Windows 2000-Plattformen und höher verwenden das Kerberos-Protokoll standardmäßig. Das Verständnis der Mechanismen dieses Systems ist bei der Erstellung eines Diensts hilfreich, der mit Intranetclients interagiert. Da die Webdienstsicherheit-Kerberos-Bindung weit verbreitet ist, können Sie das Kerberos-Protokoll nutzen, um mit Internetclients zu kommunizieren (d. h. das Kerberos-Protokoll ist interoperabel). Weitere Informationen zur Vorgehensweise bei der Implementierung des Kerberos-Protokolls in Windows finden Sie unter Untersuchen von Kerberos, dem Protokoll für verteilte Sicherheit unter Windows 2000 (möglicherweise in englischer Sprache).
X.509-Zertifikate
X.509-Zertifikate sind ein primäres Anmeldeinformationen-Formular, das in Sicherheitsanwendungen verwendetet wird. Ein Computer mit Windows-Betriebssystem verfügt über diverse Speicher, die unterschiedliche Zwecke erfüllen. Weitere Informationen zu den unterschiedlichen Speichern finden Sie unter Zertifikatspeicher (möglicherweise in englischer Sprache).
Windows-spezifische Sicherheitsmechanismen
Windows-Identität
Ein Benutzer, der ein gültiges Mitglied einer Kerberos-geschützten Domäne ist, möchte nach der Authentifizierung möglicherweise andere Dienste der Domäne nutzen. Dazu muss der Benutzer in der Lage sein, seine Internetidentität einer Windows-Identität zuzuordnen. Informationen über dieses Thema finden Sie unter Einführung in die Windows 2000-Public Key-Infrastruktur (möglicherweise in englischer Sprache).
Webdienst-Sicherheitsspezifikationen
Sichere Konversation
Eine sichere Konversation liegt vor, wenn ein Sicherheitskontext zwischen einem Client und einem Dienst erstellt wird. Der Sicherheitskontext ermöglicht es, dass Nachrichten für einen längeren Zeitraum sicher zwischen Client und Dienst fließen können. Jede Nachricht der sicheren Konversation wird nicht nur gesichert, sondern auch mit einer Konversations-ID ausgestattet, die jede Seite der Konversation nutzen kann, um den Fortschritt einer Aushandlung nachzuverfolgen.
Eine sichere Konversation ist nützlich, wenn Sie eine erweiterte Kommunikationssitzung erstellen müssen.
Mit anderen Worten: Verwenden Sie eine sichere Konversation, wenn eine Kommunikation mehr als eine (einmalige) Nachricht vom Client zum Dienst erfordert.
Zertifikaterstellung mit Authenticode
Weitere Informationen zur Verwendung von MakeCert.exe und anderen Tools zur Erstellung temporärer Zertifikate finden Sie unter Einführung in die Windows 2000-Public-Key-Infrastruktur (möglicherweise in englischer Sprache).
Autorisierungs-Manager
Autorisierungs-Manager stellt ein flexibles Framework für die Integration von rollenbasierter Zugriffssteuerung in Anwendungen bereit. Hierüber werden Administratoren, die diese Anwendungen nutzen, in die Lage versetzt, Zugriff über zugewiesene Benutzerrollen bereitzustellen, die sich auf Stellenfunktionen beziehen. Autorisierungs-Manager-Anwendungen speichern Autorisierungsrichtlinien in Form von Autorisierungsspeichern, die in Active Directory- oder XML-Dateien gespeichert sind und Autorisierungsrichtlinien bei Laufzeit anwenden.