Otentikasi adalah proses untuk menemukan dan memverifikasi identitas pengguna dengan memeriksa kredensial pengguna dan kemudian memvalidasi kredensial terhadap otoritas otentikasi. Otorisasi adalah proses menentukan apakah pengguna diperbolehkan untuk melakukan tindakan yang diminta setelah otentikasi dan menggunakan informasi tentang identitas dan peran pengguna. Ada beberapa mekanisme keamanan yang dapat digunakan sepert
2. OTENTIKASI
OTENTIKASI ADALAH PROSES UNTUK MENEMUKAN DAN MEMVERIFIKASI IDENTITAS PENGGUNA DENGAN
MEMERIKSA KREDENSIAL PENGGUNA, DAN KEMUDIAN MEMVALIDASI KREDENSIAL TERHADAP BEBERAPA OTORITAS
OTENTIKASI. SAAT INI, APLIKASI MENGGUNAKAN BERBAGAI MEKANISME OTENTIKASI, DAN ANDA DAPAT
MENGGUNAKAN BEBERAPA MEKANISME INI DENGAN NET FRAMEWORK ROLE-BASED SECURITY.
Form Authentication Passport
Bentuk otentikasi adalah mekanisme yang
tidak berkepentingan adalah permintaan
diarahkan ke Hypertext Markup Language
(HTML) bentuk dengan menggunakan
Hypertext Transfer Protocol (HTTP) client-
side redirection.
Passport adalah layanan otentikasi
terpusat yang Microsoft menyediakan dan
menawarkan fitur logon tunggal dan
layanan profil inti untuk situs member
Web. Kedua Bentuk otentikasi dan
otentikasi Paspor disebutkan untuk Demi
kelengkapan.
3. OTORISASI
OTORISASI ADALAH PROSES MENENTUKAN APAKAH SEORANG PENGGUNA DIPERBOLEHKAN UNTUK
MELAKUKAN TINDAKAN YANG DIMINTA. OTORISASI TERJADI SETELAH OTENTIKASI DAN MENGGUNAKAN
INFORMASI TENTANG IDENTITAS DAN PERAN PENGGUNA UNTUK MENENTUKAN SUMBER DAYA BAHWA
PENGGUNA DAPAT MENGAKSES. ANDA DAPAT MENGGUNAKAN .NET FRAMEWORK ROLE-BASED SECURITY
UNTUK MENERAPKAN OTORISASI.
Jenis Otorisasi Yang ada di ASP.NET
Windows NT security Role-based security Code access security
4. WINDOWS NT SECURITY
• MICROSOFT WINDOWS NT MENYEDIAKAN FITUR KEAMANAN (SECURITY) BERDASAR PADA IDENTITAS
USER DAN MENCEGAH AKSES YANG TIDAK DIOTORISASI KE SYSTEM RESOURCES.
• FITUR INI MERUPAKAN OTENTIKASI USER DAN KONTROL AKSES BERBASIS OBJECT.
• ADMINISTRATOR WINDOWS DAPAT MEMBUAT DISCRETIONARY ACCESS CONTROL LIST (DACL) YANG
MENGENDALIKAN AKSES KE RESOURCES ATAU OBJECT PADA JARINGAN.
5. ROLE-BASED SECURITY
• ROLE-BASED SECURITY ADALAH MODEL KEAMANAN DIMANA IDENTITAS KHUSUS DARI USER TIDAK
PENTING. YANG TERPENTING ADALAH ATURAN LOGIS YANG DAPAT DIASUMSIKAN USER.
• ROLE-BASED SECURITY MENGGUNAKAN ATURAN YANG TERKAIT DENGAN USER UNTUK MEMBUAT
KEPUTUSAN OTORISASI KEAMANAN.
CODE ACCESS SECURITY
• CODE ACCESS SECURITY MERUPAKAN MEKANISME KEAMANAN YANG DAPAT DIGUNAKAN UNTUK
MENCEGAH KODE DARI PENGAKSESAN PROTECTED RESOURCES.
• SEPERTI HALNYA ROLE-BASED SECURITY, CODE ACCESS SECURITY MENGHARUSKAN USER DIOTENTIKASI
TERLEBIH DAHULU SEBELUM CODE ACCESS SECURITY DAPAT BEROPERASI.
6. OTENTIKASI SOAP
TEKNIK PENGAMANAN WEB SERVICE DENGAN MENGGUNAKAN OTENTIFIKASI SOAP MERUPAKAN METODE
YANG CUKUP SEDERHANA. PROSES OTENTIFIKASI DILAKUKAN DENGAN CARA MENYISIPKAN SUATU
INFORMASI PADA PESAN SOAP YANG MENGGAMBARKAN BAHWA SUATU PESAN SOAP MEMILIKI KEASLIAN
TERSENDIRI YANG BERSIFAT UNIK DARI SUATU CLIENT TERTENTU YANG MEMINTA LAYANAN. INFORMASI
YANG DISISIPKAN INI BERISI DATA OTENTIUFIKASI DARI CLIENT YANG MENGAJUKAN REQUEST. INFORMASI
Y TERSEBUT MERUPAKAN DATA OTENTIFIKASI SOAP REQUEST YANG BERISI USERNAME DAN PASSWORD.
7. CUSTOM AUTHENTICATION USING SOAP HEADERS
• USING A SOAP HEADER IN A WEB SERVICE • USING A SOAP HEADER IN A WEB SERVICE CONSUMER
Untuk menjelaskan SOAP header
untuk sebuah web service dan
menggunakan header di web
service, caranya :
• Mengambil kelas dari
SoapHeader
• Menambahkan sebuah
public field dari SoapHeader-
derived typr
• Memakai SoapHeader
atribut.
• SOAP headers di WSDL
• Web service proxi dan SOAP
headers
• Menggunakan SOAP headers
ketika memanggil Web Service
8. MENGATUR MODE OTENTIKASI DI WEB.CONFIG
• UNTUK MENERAPKAN SKEMA OTENTIKASI KUSTOM DENGAN MENGGUNAKAN HEADER SOAP, ANDA
JUGA HARUS MENONAKTIFKAN JENIS OTENTIKASI LAINNYA DALAM FILE THEWEB.CONFIG UNTUK
LAYANAN WEB, SEPERTI YANG DITUNJUKKAN DALAM KODE BERIKUT:
• UNTUK MELAKUKAN INI, ANDA HARUS MENGUBAH WEB.CONFIG FILE. DALAM WEB.CONFIG FILE, MENCARI
TAG <AUTHENTICATION>, DAN KEMUDIAN MENETAPKAN ATRIBUT MODUS UNTUK WINDOWS, SEPERTI
DALAM CONTOH BERIKUT:
<AUTHENTICATION MODE="WINDOWS"/>
10. KEMANAN MENGGUNAKAN HTTPMODULE
HttpApplication events
dan HttpModules
Otentikasi menggunakan
HttpModules Otorisasi setelah otentikasi
Event AuthenticateRequest dihandel
di Global.asax.
Method lebih baik digunakan di
kelas HttpModule.
Konfigurasi HttpModules untuk
menerimaHttpApplicationevent.
Konfigurasi HttpModules untuk
menerimaHttpApplicationevent.
Hasilnya semua kode custom
otentikasi dapat diimplementasikan
di HttpModule dan menggunakan
kembali HttpModule di aplikasi ASP
.NET
Untuk menampilkan otentikasi di
HttpModule, HttpModule harus
mempunyai event
AuthenticateRequest.
Untuk menginvoke HttpModule pada
web service, Web Config harus berisi
informasi konfigurasi yang tepat.
Setelah HttpModule telah
diotentikasi, dapat digunakan
.NET role-based security dalam
implementasi web service
method.
13. ENKRIPSI MENGGUNAKAN SSL
• Menggunakan SSL adalah cara mudah untuk mengenkripsi seluruh komunikasi antara web service
consumer dan web service.
• Untuk mengaktifkan IIS dalam men-support koneksi SSL, dibutuhkan sertifikat X.509.
• X.509 berisi informasi tentang subjek, issuer’s name, masa berlaku, dan karakteristik lainya.
• SSL selalu menggunakan sertifikat X.509 untuk otentikasi Web server
• Kegiatan mendapatkan sertifikat dan mengkonfigurasi Web server SSL adalah tanggung jawab
administrator bukan developer.
14. CARA MENGAKTIFKAN SSL PADA WEB SERVER:
• Hal-hal yang dibutuhkan untuk mengaktifkan SSL :
• Memiliki sertifikat
• Sertifikat X.509 didapatkan dengan membuat request untuk Certificat Authority (CA).
• Ketika subjek(entitas) memiliki sertifikat CA, maka subjek tersebut meng-claim dan
menandatangani sertifikat tersbut sehingga menjadi private key miliknya.
• Menginstall sertifikat
• Install pada Web Server saat IIS running.
• Menginstall sertifikat dari tab Directory Security dalam kotak dialog Properties untuk Web site
atau direktori virtual
15. ENKRIPSI MENGGUNAKAN SOAP EXTENSION
Metode Enkripsi :
• Seluruh message
• Hanya body atau header dari message
• Hanya message terpilih
• Partitioning
Enkripsi menggunakan SOAP extension :
• Jika kita membutuhkan control yang lebih detail, kita bisa mengimplementasikan SOAP extension untuk
mengeksripsi hanya data sensitif
• HTTP dan SOAP adalah text-based protocols. Ini membuat kita lebih mudah untuk unauthorized entity untuk
melihat isi dari message yang digtukar antara Web Service Consumer and Web Service.
Keuntungan SOAP Extension dibandingkan SSL:
• Enkripsi hanya beberapa dari request dan response
• Enkripsi hanya beberapa bagian dari request dan response
• Menggunakan solution yang tidak memiliki persamaan