Nuevas Características de Seguridad en ASP.NET 2.0

Presentación del tema: "Nuevas Características de Seguridad en ASP.NET 2.0"— Transcripción de la presentación:

1 Nuevas Características de Seguridad en ASP.NET 2.0
Francisco X. Fagas A. Microsoft MVP ASP.NET Intergrupo - Ecuador

2 Agenda Qué hay de nuevo en ASP.NET Membresía Controles de Login
Nuevas Características de Seguridad de ASP.NET 2.0 Membresía Modelo de Proveedores Controles de Login <asp:login /> <asp:loginname /> <asp:loginstatus /> <asp:loginview /> <asp:passwordrecovery /> <asp:createuserwizard /> <asp:changepassword /> Encriptación de secciones de configuración Información para aprender más Preguntas y respuestas

3 Nuevas características
Data Controls Login Controls Web Parts Other New Controls Controles Master Pages Themes and Skins Mobility and Localization Compilation Framework Page Membership Role Management Profiles Configuration ASP.NET 2.0's new features can be grouped into three categories: new controls (more than 50 in all), new features in the page framework, and new services. In addition, myriad enhancements have been made to existing controls and services. Servicios y APIs Site Maps Health Monitoring Other Services

4 Que hay de nuevo en seguridad?
Servicio de membresía Servicio para manejar usuarios y credenciales Proveedor de servicio basado en un almacenamiento de datos flexible Controles de Login Controles para hacer Login, creación de nuevos usuarios, recuperación de passwords olvidados y más Servicio de Administración de Roles Combina un formulario de autenticación y de autorización de roles sin escribir ninguna línea de código! ASP.NET 1.x simplified forms authentication by introducing declarative means for designating login pages and specifying authorization rules. ASP.NET 2.0 further simplifies forms authentication by providing the following features and services: A membership service for managing users and credentials Login controls for logging in users, creating new users, and more A role management service for enacting role-based security The result is that forms authentication is easier than ever before and can often be accomplished without writing any code.

5 Validando Logins if (Membership.ValidateUser (UserName.Text, Password.Text)) RedirectFromLoginPage (UserName.Text, RememberMe.Checked); Validating login credentials used to require writing non-trivial code to check credentials against a back-end database, Active Directory, or other credentials store. In ASP.NET 2.0, the membership service reduces validating user names and passwords to one simple method call. Other methods of the Membership class and its companion, the MembershipUser class, can be used to perform additional membership-related tasks such as generating new passwords and enumerating registered users.

6 Proveedores Nuevo modelo para almacenar y manejar estados
Los almacenamientos se hacen adaptables a diferentes medios Usados por muchos servicios ASP.NET claves Servicio de Membresía Servicio de Administración de Roles y más Los proveedores preconstruidos hacen que los estados de almacenamiento ASP.NET sean flexibles Most ASP.NET 2.0 state management services use a new model called the "provider model" to make state storage infinitely flexible. In the provider model, a service doesn't manage state by interacting directly with a data store; instead, it uses a provider. The model is highly extensible because if the providers shipped with the system aren’t sufficient for your needs—if, for example, you want to store membership data or session state in an Oracle database rather than SQL Server—then you can plug in custom providers that target Oracle data stores. Developers can write custom providers themselves or acquire them from third parties.

7 El modelo de Proveedores
Controles Login LoginStatus LoginView Otros controles de Login APIs de Membresia Membership MembershipUser Proveedores de Membresía AccessMembershipProvider SqlMembershipProvider Otros proveedores This is one specific example of the provider model--the one used by the Membership service. The application talks to the Membership service through classes such as Membership and MembershipUser. These classes, in turn, read and write membership data by calling a provider. (Each class has a property named Provider that identifies the associated provider.) Each provider interfaces with a particular type of data store. If none of the providers supplied with the Framework supports the data store you wish to use (for example, an Oracle database), you can write a provider of your own or acquire one from a third party. The Membership service is one of several services that are provider-based. Data de Membresía Access SQL Server Otros almacenamientos de datos

8 Membership

9 Administration Tool

10 Administración de Roles

11 Configuración Herramientas administrativas API de Configuración
ASP.NET MMC snap-in Herramienta de administración de Web Sites (Webadmin.axd) API de Configuración Acceso Read/Write para configuración Secciones de configuración simplificadas Instrumentación Contadores de Perfilamiento, monitoreo y más In ASP.NET 1.x, editing configuration settings meant manually modifying XML configuration files. In 2.0, two new tools--the ASP.NET MMC snap-in and the Web Site Administration Tool--enable most configuration settings to be applied through administrative GUIs. Both tools represent significant enhancements in usability and should prove especially valuable to admins responsible for managing remotely hosted ASP.NET Web sites. ASP.NET 2.0’s configuration API fills a hole in ASP.NET 1.x by providing an easy-to-use and extensible API for reading and writing configuration settings. Applications can now read their own configuration settings without parsing raw XML, and they see a merged view of those settings that includes settings inherited from configuration files higher in the directory hierarchy. Moreover, writing configuration settings is as easy as reading them, and implementing custom configuration sections requires little more than deriving from System.Configuration.ConfigurationSection. ASP.NET 2.0 is also far more heavily instrumented than 1.x. Thanks to the new health monitoring subsystem, a few simple statements in Web.config can configure an application to write an entry to the Windows event log when a login fails, a system administrator when an unhandled exception occurs, and more. In addition, you can extend the health monitoring subsystem by defining Web events of your own. Other enhancements in this arena include new performance counters supplementing the ones in ASP.NET 2.0, integration with ETW for high-performance end-to-end tracing of requests as they travel through the system, and new options for generating, capturing, and managing trace output.

12 Login Controls

13 Login Controls Controles de Servidor
No escritura de código, e.g. Login UI Integrado con las características de Seguridad <asp:login /> <asp:loginname /> <asp:loginstatus /> <asp:loginview /> <asp:passwordrecovery /> <asp:createuserwizard /> <asp:changepassword />

14 <asp:CreateUserWizard />
Control Paso a Paso para crear un usuario : Podemos agregar pasos (e.g. address) Podemos modificar la plantilla de los pasos existentes Integración a características de seguridad: Integración con Membresía (Membership) NOTA: Puede crear un acceso a BD si el default membership es cambiado. Tips Soporte para fácil reorganización de pasos Hereda de Wizard

15 <asp:Login /> IU Para Iniciar Sesión : Integración:
Soporte para Auto Formato Tranformación a plantilla Integración: Forms Authentication para validad usuario Integración conMembership Propiedades de presentación Configurable Presentación, e.g. back color, fore color Behavior, e.g. redireccionar a urls

16 <asp:LoginName />
Presenta el nombre del usuario Actual String con Formato, e.g. ‘Welcome, {0}!” Otras Presentaciones User.Identity.Name <asp:LoginStatus /> Presenta el Estado del Usuario No autenticado: ‘Login’ autenticado: ‘Logout’ Basado en imagen o texto

17 <asp:LoginView />
La presentación varía por: Anonymous Usuario Autenticados Role Membership – Segmentos de página por rol Plantillas y Roles <loggedintemplate /> <anonymoustemplate /> <rolegroups />

18 <asp:ChangePassword />
IU Para cambiar Password: Convertir a Plantilla Integración: Integración con Membership Modelo de presentación dual – uno para usuarios autenticados y otro para usuarios no autenticados Propiedades de presentación configurables Presentación, e.g. back color, fore color

19 <asp:PasswordRecovery />
Recuperar Password Soporta autoformato Conversión a Plantilla Integración: Usa el proveedor de Membresía por fedecto Reglas de recuperación de Membership Propiedades de presentación configurable Presentación, e.g. back color, fore color Configuración, e.g. redireccionar a urls

20 Login Controls

21 Encriptar Configuración

22 Resumen Qué hay de nuevo en ASP.NET
Nuevas Características de Seguridad de ASP.NET 2.0 Membresía y Administración de Roles Modelo de Proveedores Controles de Login <asp:login /> <asp:loginname /> <asp:loginstatus /> <asp:loginview /> <asp:passwordrecovery /> <asp:createuserwizard /> <asp:changepassword /> Encriptación de secciones de configuración

23 ¿Deseas aprender más? Dirección de guía de Seguridad para ASP.NET 2.0:
Laboratorios de MSDN: Más Recursos ASP.NET Recursos y Noticias:

24 Preguntas y respuestas
Proponer preguntas usando el botón “Ask a Question” No te olvides de llenar la encuesta Para webcasts futuros y pasados (en inglés) Para webcasts futuros y pasados (en castellano) Este webcast fue presentado usando Microsoft Office LiveMeeting. Se puede obtener una prueba de 14 días gratuita en

25 © 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

26 ¿Dónde se puede obtener MSDN?
Llenar la encuesta al final del webcast y pedir a un representante de Microsoft que le contacte Convertirse en un suscriptor de los CDs/DVDs de MSDN en