Web.Config

Questo articolo è deprecato a partire da Amministrazione IIS 2.0.0. e è stato sostituito dalla sezione sicurezza appsettings

L'API di amministrazione di Microsoft IIS ha accesso a tutti i meccanismi di sicurezza integrati offerti da IIS. Queste impostazioni si trovano nel file web.config fornito con l'installazione dell'API. In questo file vengono specificati i requisiti di autenticazione e autorizzazione di Windows. Questo file può essere modificato per personalizzare chi può accedere all'API, ad esempio l'autenticazione di Windows può essere sostituita con l'autenticazione del certificato client. Per rendere effettive le modifiche apportate al file di web.config, è necessario riavviare il servizio "Amministrazione Microsoft IIS".

Il file web.config si trova in: IIS Administration\<version>\Microsoft.IIS.Administration\web.config

Impostazioni predefinite

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.webServer>
    <handlers>
      <add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModule" resourceType="Unspecified" />
    </handlers>
    <aspNetCore processPath="dotnet" arguments=".\Microsoft.IIS.Administration.dll" forwardWindowsAuthToken="true" stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout" />
    <security>
      <authentication>
        <windowsAuthentication enabled="true" />
      </authentication>
      <authorization>
        <clear />
        <add accessType="Allow" roles="Administrators,IIS Administrators" />
      </authorization>
    </security>
  </system.webServer>
  <!-- 
       ALWAYS PROTECTED SECURITY AREA 
       THE HOST MUST PROVIDE AUTHENTICATION
       
       [Windows Authentication]
       [Client Certificate Authentication]
  -->
  <location path="security">
    <system.webServer>
      <security>
        <authentication>
          <anonymousAuthentication enabled="false" />
          <windowsAuthentication enabled="true" />
        </authentication>
        <authorization>
          <clear />
          <add accessType="Deny" users="?" />
          <add accessType="Allow" roles="Administrators,IIS Administrators" />
        </authorization>
      </security>
    </system.webServer>
  </location>
  <!-- 
      API area 
      Protected by ACCESS TOKEN
      The host can provide additional authentication on top
  -->
  <location path="api">
    <system.webServer>
      <security>
        <authentication>
          <!-- Need for CORs -->
          <anonymousAuthentication enabled="true" />
        </authentication>
        <authorization>
          <!-- Need for CORs -->
          <add accessType="Allow" verbs="OPTIONS" users="*" />
        </authorization>
      </security>
    </system.webServer>
  </location>
</configuration>