Discussion :

[Lydéric]

Bonjour

j'ai une petite question concernant un web service.

Je souhaite héberger un petit web service(une fonction) WCF/REST sous IIS.
Cependant je souhaite que l'accès à ce service soit un minimum sécurisé.

Quelles solution s'offrent à moi (authentification IIS, au niveau du service....) sachant que ce service ne sera pas appelé en .NET et qu'il sera appelé par une application et un utilisateur hors domaine.

[Er3van]

Hello,

Bienvenue sur le forum !

Puisque l'utilisateur n'est pas dans le domaine, a priori tu ne pourras pas utiliser l'authentification intégrée Windows, qui se fait à partir de IIS vers un Active Directory et qui est transparent pour ton application puisqu'elle s'intéresse à l'accès au répertoire de ton serveur il me semble... mais puisque tu ne peux pas je ne m’étendrai pas.

Dans ton cas il faut que tu fasses de l'authentification implicite, soit intégrée à IIS soit pas.
Cela dépend de comment tu veux gérer tes droits en fait.
Si l'utilisateur n'est pas dans la base, j'imagine que ça sera fait via une base de données dédiées plutôt que via un AD ? Ou alors gérer les droits dans l'appli émettrice avec simplement un compte "technique" pour l'application (dans ce cas tu déportes la gestion des droits en amont).
Dans ce cas tu serais sur une solution "artisanale", avec une gestion (ou pas) de cookie au niveau de ton client.

[Invité]

Quelles solution s'offrent à moi (authentification IIS, au niveau du service....) sachant que ce service ne sera pas appelé en .NET et qu'il sera appelé par une application et un utilisateur hors domaine.

Vu que c'est du WCF/REST la solution que je propose est l'utilisation de HTTPS en passant les identifiants dans les entêtes http.

[Lydéric]

Vu que c'est du WCF/REST la solution que je propose est l'utilisation de HTTPS en passant les identifiants dans les entêtes http.

j'aime bien l'idée... pourrais-tu me montrer comment mettre ça en oeuvre coté client, service et IIS ?

[GuruuMeditation]

En gros, les etapes (sans ordre précis)
- configurer IIS pour utiliser SSL
- Créer un UserNamePasswordValidator qui va valider le user
- Changer le binding pour mettre le securitymode en TransportWithMessageCredential
- changer le behavior pour lui dire d'utiliser le UserNamePasswordValidator
- côté client, envoyer ton user/password dans les credential.


J'espère ne rien avoir oublié.

Ou alors, plus simple, tu ajoute 2 nouveaux parametres à ton service (User et Password) et tu fais le check dans le service lui-même (Mais ne repete pas que c'est moi qui ai dit ça, je tiens à ma réputation)

[Invité]

En gros, les etapes (sans ordre précis)
- configurer IIS pour utiliser SSL
- Créer un UserNamePasswordValidator qui va valider le user
- Changer le binding pour mettre le securitymode en TransportWithMessageCredential
- changer le behavior pour lui dire d'utiliser le UserNamePasswordValidator
- côté client, envoyer ton user/password dans les credential.

rien à ajouter