Guia de Segurança de Ferramentas de Administração de Web Site

Use a guia Segurança da Ferramenta de Administração de Web Site para gerenciar regras para assegurar recursos específicos na aplicação na Web.ASP.NET usa o sistema de segurança que permite que você restrinja o acesso às contas de usuário específicas ou funções às quais as contas de usuário pertencem.Com a guia Segurnaça, você gerencia contas de usuário, funções, e regras de acesso ao Web site.Antes de utilizar a guia Segurança pela primeira vez, use o Assistente para Instalação de Segurança para configurar definições básicas de segurança para o Web site.

Segurança ASP.NET é baseada em conceitos de contas de usuário, funções, e regras de acesso e permitem que você restrinja o acesso aos seus recursos de aplicação Web para somente as contas de usuário que você especificar.Definições de segurança são estabelecidas utilizando uma combinação de definições de configuração e dados armazenados em um banco de dados (ou outro armazenamento de dados).Contas de usuário e funções que você cria são armazenados em bacos de dados e regras de acesso são armazenadas no arquivos Web.config.

Você pode configurar seu aplicativo para usar os seguintes tipos de segurança, que dependem de como a página Web será usada:

• Autenticação baseada em formulários (Da Internet)

  Autenticação baseada em formulários é usada para páginas Web que são colocadas disponíveis para a Internet.Autenticação baseada em formulários utiliza associação do sistema ASP.NET para gerenciar contas de usuário e grupos (funções) individuais.Informação de contas de usuário é armazena em um banco de dados local ou num bando de dados do Microsoft SQL Server.Você pode usar os controles de logon ASP.NET para criar uma página de logon onde os usuários podem entrar com suas credenciais.

• Autenticação integrada do Microsoft Windows (De uma rede local)

  Autenticação do Windows interage com a segurança Windows, usando credenciais de logon que os usuários fornecem quando efetuam logon no Windows.Assim sendo, autenticação do Windows está sujeita aos cenários intranet, onde usuários tenham logado na rede baseada em Windows.Você não tem que criar uma página de logon, porque os usuários são logados automaticamente no seu aplicativo através de suas credenciais Windows.

Use a seção Usuários da guia Segurança para completar as seguintes tarefas:

• Criar, editar, e deletar contas de usuários registrados para o Web site.

• Veja a lista de todas as contas de usuário registrados para o Web site.

• Modifique o método de autenticação usado pelo Web site.

Observação:

Você pode criar e gerenciar contas de usuário, se você escolher a opção Da Internet para o tipo de autenticação (se você está utilizando autenticação baseada em formulários).Se você escolher a opção De uma rede local como seu tipo de autenticação (se você está utilizando autenticação integrada com o Windows), você não pode gerenciar contas de usuário individuais.Se você modificar o tipo de autenticação, qualquer informação de usuário que você tenha criado será perdida.Adicionalmente, regras de acesso podem não mais funcionar da maneira que você configurou-as.Geralmente, você deve selecionar um tipo de autenticação somente na primeira vez que configurar o Web site.

Utiliza a seção Papéis da guia Segurança para agrupar contas de usuário, o que torna mais fácil a atribuição de permissões (autorização).

Utilize a seção Regras de Acesso da guia Segurança para permitir ou negar acesso a páginas específicas para contas de usuário específicas ou para todas as contas de usuário específicas de um papel.Tipicamente, você utiliza uma regra de acesso restrita a páginas para algumas contas de usuário.

Criando Novos Usuários

Você pode criar e gerenciar contas de usuário, se você escolheu a opção Da Internet para o tipo de autenticação (se você está utilizando autenticação baseada em formulários).Para modificar os tipos de autenticação, clique Selecionar tipo de autenticação.

Para criar contas de usuário

Clique Criar usuário, e então especifique as informações seguintes.

• Nome de usuário

  Digite o nome para a conta de usuário a ser criada.

• Password (senha)

  Digite a senha para Nome de Usuário.Palavras-chave diferenciam maiúsculas de minúsculas.

• Confirmar senha

  Digite a Senha novamente.

• E-mail

  Digite o endereço de e-mail para o Nome de Usuário.

  A Ferramenta de Administração de Web Site não confirma se o endereço digitado é um e-mail válido, mas ela valida os endereços de e-mail conforme o formato correto de endereços de e-mail.

• Pergunta de Segurança

  Digite uma pergunta para perguntar ao usuário caso ele necessite de resetar ou reaver sua senha.

• Resposta de Segurança

  Digite a resposta da Pergunta de Segurança.

• Usuário ativo

  Seleciona essa opção para habilitar essa conta de usuário como usuário ativo (atual) ou da página.Se você não selecionar esta opção, as informações do usuário serão armazenadas em um banco de dados, mas o usuário não poderá realizar logon no Web site.

• Funções

  Selecione as funções para Nome de Usuário.Você cria papéis separadamente.Para mais informações, veja a próxima seção.

Criando Funções

Para criar funções

1. Clique na guia Segurança e, em seguida, clique em Habilitar funções.

2. Clique Criar ou Gerenciar funções.

3. No Novo nome da função , digite um nome para a função criar, sistema autônomo administrador, membro ou convidado, e, em seguida, clicar Adicione função.

Para adicionar contas de usuários a funções

1. Na guia Segurança, clique Gerenciar Usuários, então clique Editar Usuário.

2. Sob Funções, selecione as funções para as contas de usuário.

Criando Regras de Acesso

Criando Regras de Acesso

1. Na guia Segurança, clique Criar regras de acesso.

2. Especifique as seguintes opções:

   • Selecione um diretório para esta regra

     Você pode escolher criar uma regra que se aplica a todo o site ou apenas uma subpasta específica.Na exibição da estrutura de diretório para o Web site, selecione o diretório ao qual as regras se aplicam.

   Sob Aplicar regras, especifique como aplicar as regras.

   • Função

     Selecione Função, e então na lista, selecione o nome da função a qual as regras de acesso se aplicam.

   • Usuário

     Selecione Usuário, e então digite o nome da conta de usuário a qual as regras de acesso se aplicam.Se você está utilizando associação ASP.NET (segurança do Web site está definida como Da internet), você poderá também utilizar o Pesquisar para recursos de usuário.

   • Todos os usuários

     Selecione esta opção para aplicar a regra a todos os visitantes do Web site.

   Observação:
   Seja cuidadoso quando criar uma regra com a opção Todos os usuários.Por causa das regras aplicadas em ordem, você pode criar uma regra sem intenção que previna todos os usuários de acessar a pasta.

   • Usuários anônimos

     Selecione esta opção para aplicar esta regra a contas de usuários anônimos (não registrados) somente.

   Tipicamente, você escolhe a opção Usuários anônios para restringir (negar) acesso para usuários que não estão logados.

   • Permissão

     Selecione Permissão para dar acesso ao diretório específico para a conta de usuário ou função especificada.

     Selecione Negar para não permitir acesso ao diretório específico para a conta de usuário ou função especificada.

     Por exemplo, para prevenir usuários que não estão logados (anônimos) de ver páginas ou pastas, clique a pasta, selecione Usuários anônimos, e então selecione Negar.

   Às vezes, você poderá criar regras múltiplas para a mesma pasta em ordem para estabelecer as permissões corretas.Por exemplo, você pode criar uma regra que nega acesso às contas de usuário anônimas e uma segunda regra que nega acesso às contas de usuário na função de Convidado.Dessa forma, apenas usuários logados ou em outro grupo poderão acessar à pasta.

Por trás das Cenas

A Ferramenta de Administração do Web Site gerencia informação segura nos dois seguintes lugares:

• O arquivo Web.config na raiz do Web site.

• O site provedor do banco de dados é usado para armazenar as informações de usuário e de grupo.

Configurações Web.config

As configurações Web.config que são gerenciadas através da guia Segurança são as seções <authorization>, <roleManager>, e <authentication>.

O exemplo de código a seguir é o arquivo Web.config que foi criado pela Ferramenta de Administração do Web Site com uma restrição de subpasta do Web site.Acesso à subpasta restrita é permitido para administradores e negado para usuários anônimos.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <system.web>
        <authorization>            <allow roles="administrators" />            <deny users="?" />        </authorization>
    </system.web>
</configuration>

Banco de dados

Quando você utiliza o provedor de dados padrão, a Ferramenta de Administração do Web Site cria entradas no banco de dados padrão ASP.NET.Por padrão, a Ferramenta de Administração do Web Site cria um banco de dados na pasta App Data para o Web site.Contudo, usanso a guia Provedor, você poderá especificar a informação da aplicação para as contas de usuário e funções para serem mantidas em outro banco de dados (por exemplo, obter informação de funções de usuários de bancos de dados Windows).Para informações detalhadas, consulte Guia de Provedor de Ferramentas de Administração de Web Site.

Mais informações

Para mais informações sobre configurações que são gerenciadas na guia Segurança, na documentação .NET Framework, veja os tópicos seguintes:

• Limitando acesso a sites da Web ASP.NET

• Visão Geral da Configuração ASP.NET

Consulte também

Conceitos

Visão Geral da Ferramenta de Administração de Site

Guia de Segurança de Ferramentas de Administração de Web Site

Guia de Provedor de Ferramentas de Administração de Web Site

Ferramenta de Administração de Site Interna