Métodos de autenticación en zonas con cobertura

Anuncio
Integración de Windows 8 con
operadores de zonas con cobertura
inalámbrica
La mejor experiencia en aplicaciones y
exploradores
28 de septiembre de 2012
Resumen
Este documento proporciona información sobre las zonas con cobertura inalámbrica
para Windows 8. Proporciona instrucciones para que los operadores de zonas con
cobertura inalámbrica puedan ofrecer una experiencia personalizada a los usuarios
de Windows 8. Se da por sentado que el lector está familiarizado con las prácticas
comunes de estas zonas, como portales cautivos y el protocolo WISPr.
Esta información se aplica a los siguientes sistemas operativos:
Windows 8
Las referencias y los recursos que se mencionan en este documento están
enumerados en una lista al final del documento.
La versión actual de este documento se mantiene actualizada en Internet en:
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica
Aviso de declinación de responsabilidades: Este documento se proporciona tal como está. La
información y las opiniones expresadas en este documento, incluidas las direcciones URL y otras
referencias a sitios web de Internet, pueden cambiar sin notificación alguna. Parte de la información está
relacionada con una versión preliminar del producto, que podría ser modificada considerablemente antes de
su lanzamiento comercial. Microsoft no ofrece garantía alguna, ya sea explícita o implícita, con respecto a la
información que se proporciona en este documento. La responsabilidad de usar este documento corre por
tu cuenta.
Algunos de los ejemplos ilustrados aquí se proporcionan únicamente como referencia y son ficticios. No se
pretende realizar ni debe interpretarse ninguna conexión o asociación reales.
Este documento no concede ningún derecho legal sobre la propiedad intelectual de ninguno de los
productos de Microsoft. Puedes copiarlo y usarlo como referencia interna. Puedes modificar este
documento para utilizarlo como referencia interna.
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 2
Historial del documento
Fecha
28 de septiembre de
2012
15 de agosto de 2012
27 de junio de 2012
31 de mayo de 2012
28 de febrero de 2012
Cambio
Actualizado para reflejar los cambios en la personalización de
marca
Actualizado para Windows 8 RTM
Información actualizada sobre aprovisionamiento para la
autenticación en zonas con cobertura inalámbrica
Información actualizada sobre aprovisionamiento para la
autenticación en zonas con cobertura inalámbrica, firma del
archivo de aprovisionamiento, administración de numerosos SSID y
cómo comenzar con una aplicación de autenticación en zonas con
cobertura inalámbrica
Primera publicación
Contenido
Introducción ................................................................................................................... 3
Métodos de autenticación en zonas con cobertura inalámbrica................................... 3
Portales cautivos ........................................................................................................ 3
Control coherente de la conexión ......................................................................... 4
Páginas web adaptadas a sistemas táctiles ........................................................... 4
Aprovisionamiento tras la compra ........................................................................ 4
Ofrecimiento de instalación de aplicaciones......................................................... 5
Autenticación WISPr .................................................................................................. 5
Aprovisionamiento para la autenticación en zonas con cobertura inalámbrica ... 6
Administración de numerosos SSID....................................................................... 8
Administración del evento HotspotAuthentication ............................................ 10
Hotspot 2.0 .............................................................................................................. 12
Tareas iniciales con una aplicación de autenticación en una zona con cobertura
inalámbrica ................................................................................................................... 13
Revisión de la muestra ............................................................................................. 13
Actualización de la muestra ..................................................................................... 13
Comprobación de los eventos en segundo plano .................................................... 14
Recursos ....................................................................................................................... 15
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 3
Introducción
Las zonas con acceso inalámbrico han proliferado en áreas públicas como
aeropuertos, cafeterías y hoteles. Los operadores de tales redes normalmente
ofrecen a sus clientes acceso a Internet como un servicio complementario, financiado
por el propietario del lugar, o como un servicio bajo pago.
Han surgido varios métodos para procesar la autenticación en estas redes. La redes
abiertas con portales cautivos (llamadas UAM [del inglés “Universal Access Method”]
en WISPr) son el denominador común, puesto que los usuarios pueden acceder desde
cualquier dispositivo que esté equipado con una interfaz WLAN y un explorador web.
Sin embargo, las extensiones de portales cautivos (WISPr) y los métodos de
autenticación alternativos (Hotspot 2.0, EAP) ofrecen otras opciones con las que se
simplifica la conexión en zonas con cobertura inalámbrica.
En este documento se trata la interacción entre un operador en estas zonas, sus
aplicaciones y Windows 8. Las acciones que se describen las puede realizar una
aplicación estándar descargada de la Tienda Windows o una aplicación de un
operador instalada por Windows para complementar un dispositivo de banda ancha
móvil que esté conectado al PC.
Métodos de autenticación en zonas con cobertura inalámbrica
Portales cautivos
La mayoría de zonas con cobertura inalámbrica implementan la interacción con los
clientes a través de un “portal cautivo”, una conexión de red restringida en la que
todas las solicitudes HTTP de clientes se redirigen al sitio del proveedor. Este sitio
puede solicitar a los usuarios que aprueben los términos y condiciones del operador,
que introduzcan la información del pago o las credenciales para verificar los acuerdos
de pago previos.
Se dan varios problemas en esta experiencia:

Otras aplicaciones (como clientes de correo electrónico) también se
redirigen. Si el usuario intenta utilizar en primer lugar una aplicación que no
sea el explorador web, se producirán errores que no se podrán resolver.

Si se intenta una conexión inicial a través de SSL, el explorador muestra una
advertencia de seguridad al usuario antes de encontrar el redireccionamiento
al portal cautivo. Esto crea una experiencia confusa para los usuarios, porque
deben pasar por alto la advertencia de seguridad para poder conectarse.
Windows 8 admite redes de portales cautivos e inicia inmediatamente el explorador
web cuando detecta un portal cautivo. El usuario verá la página web con la marca del
operador en el primer plano del dispositivo, lo que le ayudará a comprender qué
acciones tendrá que llevar a cabo para autenticarse a través del portal cautivo.
Windows proporciona también mecanismos con los que los usuarios podrán omitir
los portales cautivos en los siguientes intentos. Sin embargo, el portal cautivo será
siempre la primera experiencia para el usuario nuevo.
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 4
Para que la experiencia de estos usuarios sea siempre la mejor posible, ofrecemos en
esta sección algunos de los procedimientos recomendados para los portales cautivos.
Control coherente de la conexión
Windows realiza un número de pruebas de red cuando se conecta por primera vez a
una red para determinar la conectividad a Internet y el estado del portal cautivo. El
sitio de destino de estas pruebas es msftncsi.com, un dominio reservado que se
utiliza exclusivamente para probar la conectividad. Cuando se detecta un portal
cautivo, las pruebas se repiten periódicamente hasta que este se libera.
Para evitar que se produzcan falsos positivos o falsos negativos, el portal cautivo no
debería realizar lo siguiente:

Dar acceso a www.msftncsi.com cuando el usuario no tiene acceso a Internet
en general.

Cambiar el comportamiento del portal cautivo que se muestra a los clientes.
Por ejemplo, no debería redirigir ciertas solicitudes y dejar otras; habría que
redirigir todas las solicitudes hasta que la autenticación se produzca de forma
correcta.
o
Las mitigaciones de denegación de servicio deberían estar basadas en
la frecuencia de intentos por cliente y no en el número de intentos
por cliente o en el total de intentos de todos los clientes.
Páginas web adaptadas a sistemas táctiles
Windows 8 ha sido diseñado como una experiencia táctil, y esto también incluye las
páginas web. Considera la posibilidad de diseñar la página web con controles más
grandes que los usuarios táctiles manejen con mayor facilidad. Utiliza un diseño con
el que se pueda interactuar sin que haya que realizar demasiados desplazamientos e
divide el flujo en varias páginas si lo consideras necesario. Para obtener más
información sobre el diseño web adaptado a sistemas táctiles, consulta Diseño para
interacción táctil.
Aprovisionamiento tras la compra
Un sitio web puede utilizar el mismo archivo de aprovisionamiento que una
aplicación. Comprueba si entre los códigos JavaScript de la página web se encuentra
disponible el método window.external.msProvisionNetworks. Si lo está, el
explorador podrá transmitir un archivo de aprovisionamiento al sistema operativo.
Consulta Aprovisionamiento de metadatos de banda ancha móvil para obtener más
información sobre cómo se genera este archivo de aprovisionamiento. Ten en cuenta
que este archivo debe estar firmado cuando lo proporciona un sitio web o una
aplicación que no es la aplicación del operador de telefonía móvil.
Al pasar un archivo XML de aprovisionamiento, el sistema operativo podrá conectarse
automáticamente a otras redes incluidas en el servicio del usuario, incluso si tienen
diferentes SSID. Si utilizas credenciales WISPr estáticas, también podrás disfrutar de
una experiencia de conexión más eficaz, porque Windows se podrá autenticar con
esas credenciales de forma automática en siguientes ocasiones.
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 5
Ofrecimiento de instalación de aplicaciones
La experiencia más enriquecedora en Windows 8 se consigue usando una aplicación
de la Tienda Windows. No se puede dar acceso a únicamente una aplicación de la
Tienda Windows a través de un portal cautivo, por lo que la aplicación no se podrá
instalar antes de que el usuario obtenga conectividad a Internet. Sin embargo, una
vez que se ha autenticado el usuario, podrás dirigirlo a la Tienda Windows para
instalar la aplicación.
Autenticación WISPr
Una zona con cobertura inalámbrica compatible con WISPr incluiría una carga como
la siguiente en la página de su portal cautivo:
<HTML>
<!-<?xml version=”1.0” encoding=”UTF-8”?>
<WISPAccessGatewayParam
xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance”
xsi:noNamespaceSchemaLocation=”http://www.acmewisp.com/WISPAccess
GatewayParam.xsd”>
<Redirect>
<AccessProcedure>1.0</AccessProcedure>
<AccessLocation>Hotel Contoso Guest Network</AccessLocation>
<LocationName>Hotel Contoso</LocationName>
<LoginURL>https://captiveportal.com/login</LoginURL>
<MessageType>100</MessageType>
<ResponseCode>0</ResponseCode>
</Redirect>
</WISPAccessGatewayParam>
-->
</HTML>
Este XML, contenido en un comentario HTML para evitar que se muestre a los
clientes, puede ser interpretado por un “cliente inteligente” como Windows para
saber donde hay que enviar las credenciales del usuario.
Cuando un cliente se conecta manualmente a una red compatible con WISPr, verá el
siguiente mensaje:
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 6
A los clientes que seleccionen “No, abrir un explorador web para completar la
conexión” se les conducirá al portal cautivo del operador, como normalmente ocurre.
A los clientes que seleccionen “Sí”, se les pedirán las credenciales como parte de la
experiencia de conexión de Windows. Estas credenciales se proporcionan
automáticamente al sitio web del operador y el usuario se conectará una vez se
autentique correctamente.
La aplicación del operador también puede proporcionar credenciales de manera
automática o sustituir la solicitud de credenciales con una compra personalizada o un
flujo de autenticación. Para ello, la red tiene que ser compatible con WISPr y la
aplicación tiene que estar instalada antes de que el usuario se conecte a la red.
Si la red solo ofrece WISPr a clientes con algunas cadenas de agente de usuario, el
usuario no verá esta petición y no podrá introducir manualmente las credenciales. Sin
embargo, la aplicación podrá aun participar en la autenticación WISPr incluyendo el
agente de usuario adecuado cuando esté creando el perfil de red.
Aprovisionamiento para la autenticación en zonas con cobertura
inalámbrica
Para que una aplicación participe en un proceso de autenticación en una zona con
cobertura inalámbrica, hay que crear primero uno o varios perfiles para zonas con
cobertura inalámbrica. Esto se hace con la interfaz del agente de aprovisionamiento,
como se explica en Aprovisionamiento de metadatos de banda ancha móvil. La zona
con cobertura inalámbrica debe utilizar la autenticación abierta y debe incluir el
elemento HotspotProfile. En la siguiente muestra de archivo de aprovisionamiento se
indica cómo asociar un SSID con una aplicación:
<WLANProfile
xmlns="http://www.microsoft.com/networking/CarrierControl/WLAN/v1">
<name>Contoso Wi-Fi</name>
<SSIDConfig>
<SSID>
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 7
<name>Contoso Wi-Fi___33</name>
</SSID>
</SSIDConfig>
<MSM>
<security>
<authEncryption>
<authentication>open</authentication>
<encryption>none</encryption>
<useOneX>false</useOneX>
</authEncryption>
<HotspotProfile
xmlns="http://www.microsoft.com/networking/WLAN/HotspotProfile/v1">
<ExtAuth>
<ExtensionId>AñadeAquíElIdDeAplicación</ExtensionId>
</ExtAuth>
<TrustedDomains>
<TrustedDomain>www.mycaptiveportal.com</TrustedDomain>
</TrustedDomains>
<UserAgent>contoso</UserAgent>
</HotspotProfile>
</security>
</MSM>
</WLANProfile>
El campo ExtensionId contiene el nombre de familia del paquete correspondiente a la
aplicación que se usará para generar credenciales de zona con cobertura
inalámbrica. Visual Studio genera automáticamente el nombre de familia. Para
encontrar el nombre de familia del paquete de tu aplicación, abre el archivo
package.appxmanifest en tu solución de Visual Studio y ve a la ventana
Empaquetado.
Una vez procesado el archivo de aprovisionamiento, la aplicación con el nombre de
familia del paquete "AñadeAquíElIdDeAplicación" debe registrarse para el evento
HotspotAuthentication. Es necesario que el archivo de aprovisionamiento se procese
en primer lugar para poder conceder a la aplicación especificada acceso a este
evento. Una aplicación puede registrar un solo controlador para este evento. El
registro de eventos sigue siendo válido siempre que haya al menos un perfil que haga
referencia a la aplicación correspondiente.
Firma del archivo de aprovisionamiento
Como el aprovisionamiento modifica la configuración del sistema que continúa una
vez que el usuario haya salido de la aplicación, o incluso después de haberla
desinstalado, se requiere una medida de verificación más estricta que para la mayoría
de las API. Esta verificación se consigue mediante una combinación de hardware
específico del operador (el SIM), firmas criptográficas y la confirmación del usuario.
Tabla 1. Requisitos de verificación
¿Hay una SIM
presente?
Origen de
aprovisionamiento
Requisito de firma
Requisito de
confirmación del
usuario
Sí, proveedor de
banda ancha móvil
Aplicación del
operador de
telefonía móvil
Ninguno
Ninguno
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 8
¿Hay una SIM
presente?
Origen de
aprovisionamiento
Requisito de firma
Requisito de
confirmación del
usuario
Sí, proveedor de
banda ancha móvil
Sitio web del
operador
El certificado debe:
Ninguno
No, proveedor de
Wi-Fi
Sitio web o
aplicación del
operador de
telefonía móvil

Conducir a la
entidad de
certificación raíz
de confianza

Estar asociado a
hardware de
banda ancha
móvil en la base
de datos de APN
o en los
metadatos de la
experiencia
El certificado debe:

Conducir a la
entidad de
certificación raíz
de confianza

Estar marcado
para la
validación
extendida
Se solicita la
confirmación del
usuario la primera
vez que se usa el
certificado, pero no
después
Administración de numerosos SSID
Varios SSID por perfil
Si vas a aprovisionar Windows para que se conecte a varios SSID, es posible y
recomendable proporcionar varios SSID por perfil. De este modo se reducirá
enormemente el tamaño del archivo de aprovisionamiento y mejorará también la
capacidad de respuesta del equipo.
Si tienes previsto usar las API que se mencionan más adelante para marcar una red
que no se deba usar más, estas acciones se aplicarán a todos los SSID que estén
cubiertos por el mismo perfil, por lo que el procedimiento recomendado es agrupar
los SSID relacionados en un único perfil.
Hay un máximo de diez perfiles con 25 SSID principales cada uno.
SSID secundarios
Si necesitas configurar más de 25 SSID por perfil, puedes especificar SSID secundarios
para cada perfil en la nota SSIDConfig de la sección HotspotAuth. Esto no crea perfiles
adicionales para estas redes pero asocia la configuración de este perfil relativa a la
zona con cobertura inalámbrica con ese SSID.
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 9
Si el usuario se conecta manualmente en el futuro y crea un perfil nuevo, la
configuración de este perfil relativa a la zona con cobertura inalámbrica se asocia
automáticamente al perfil creado por el usuario. Como los SSID secundarios no se
conectan automáticamente a menos que el usuario los conecte manualmente una
vez, estas serán redes menos comunes que la mayoría de los usuarios no
encontrarán.
Hay un número máximo de 250 SSID secundarios por perfil.
Prefijos
Si necesitas asociar un conjunto dinámico o especialmente numeroso de SSID, la lista
de SSID puede contener prefijos y SSID estáticos. Esto te permite asociar tu aplicación
con un gran conjunto de SSID que tienen cuatro o más octetos en común al principio
del SSID.
Los prefijos solo se pueden usar en SSID secundarios, no principales. Un
procedimiento recomendado es crear SSID principales para la mayoría de las
variantes comunes y, después, un prefijo secundario para administrar los casos
menos comunes.
Un prefijo cuenta como un único SSID secundario aunque se aplique a varias redes.
Tabla 2. SSID para perfiles
Número de
SSID
Tipo de perfil
Ubicación de la lista de SSID
Comentarios
1 - 10
Perfil de WLAN
sencillo
WLANProfile/SSIDConfig
Ninguno
11 - 250
Perfil de WLAN
con varios SSID
principales
WLANProfile/SSIDConfig
Agrupa los SSID
relacionados en
cada perfil; las
acciones de
aplicaciones y
usuarios se
aplican a todos
los SSID de un
perfil
250 - 2750
Perfil de WLAN
con varios SSID
principales y
SSID
secundarios
SSID principales en
WLANProfile/SSIDConfig
Haz que los SSID
más frecuentes
sean principales;
los SSID menos
comunes deben
ser secundarios
SSID secundarios en
WLANProfile/HotspotAuth/SSIDConfig
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 10
Número de
SSID
Tipo de perfil
Ubicación de la lista de SSID
Comentarios
2750+
Perfil de WLAN
con varios SSID
principales y
SSID
secundarios
(prefijos
incluidos)
SSID principales en
WLANProfile/SSIDConfig
Incluye las
variantes más
comunes como
SSID principales,
aunque los
prefijos de SSID
secundarios
también los
cubran.
SSID secundarios en
WLANProfile/HotspotAuth/SSIDConfig
Administración del evento HotspotAuthentication
Windows activa el evento HotspotAuthentication cuando detecte un portal cautivo
compatible con WISPr.
Cuando se genera el evento, la aplicación receptora debe llamar inmediatamente a la
función
Windows.Networking.NetworkOperator.HotspotAuthentication.TryGetAuthenticati
onContext con el token de evento que se proporcionó como argumento para el
controlador de eventos. Esta función devolverá un objeto que administrará el intento
de autenticación en una zona con cobertura inalámbrica. En el caso de que la función
genere un error, el controlador del evento saldrá sin realizar otras acciones
adicionales.
Las propiedades del objeto permiten que la aplicación recupere lo siguiente:

El SSID de la red inalámbrica

Detalles sobre el adaptador de red que está conectado a la zona con
cobertura inalámbrica

Dirección URL que contenía el mensaje WISPr

La carga XML del mensaje WISPr

La dirección URL de autenticación a la que se proporcionarán las credenciales
Existen otras API para recuperar:

El BSSID de la red inalámbrica (consulta el espacio de nombres
Windows.Networking.Connectivity)

Parámetros DHCP de la red (consulta Win32 y COM para aplicaciones de la
Tienda Windows: redes)
Las credenciales se generarán con esta información y algunos otros datos que
necesite obtener la aplicación del sistema local o de la red. El objeto también
contiene métodos que permiten a la aplicación continuar con la autenticación en la
zona con cobertura inalámbrica o completarla. Las posibles rutas para la aplicación
están cubiertas en las siguientes secciones.
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 11
Emitir credenciales
En el caso más sencillo, la aplicación puede generar credenciales basándose en la
información que tiene o que puede recuperar. Por ejemplo, un nombre de usuario y
una contraseña se generan con la información de la carga WISPr y la información
sobre el adaptador de red.
Tras realizar las acciones necesarias para generar u obtener las credenciales, la
aplicación llama al método IssueCredentials del objeto
HotspotAuthenticationContext. Este método permite que la aplicación proporcione
lo siguiente:

El parámetro UserName de WISPr

El parámetro Password de WISPr

Parámetros arbitrarios y no estándar que se incluirán en la respuesta WISPr

Comportamiento en los errores
En el caso de que el servidor rechace las credenciales que ha proporcionado la
aplicación, Windows se desconecta de la red y no vuelve a intentar conectarse en la
sesión de usuario actual. La marca final permite a la aplicación indicar que Windows
no debería volver a intentar conectarse automáticamente con este perfil si no se ha
logrado con estas credenciales.
Abortar autenticación
Si la aplicación descubre que no puede crear credenciales para la red actual (porque
los acuerdos de perfil móvil hayan cambiado, porque la información no esté
disponible o por cualquier otro motivo), esta debe llamar al método
AbortAuthentication del objeto HotspotAuthenticationContext.
Windows se desconecta de la red y no vuelve a intentar conectarse en la sesión de
usuario actual. Esta función acepta una marca que indica que Windows no volverá a
intentar conectarse automáticamente con este perfil.
Esto no significa que el perfil se vaya a eliminar del sistema, por lo que la aplicación
podría solicitar de nuevo las credenciales si el usuario intenta conectarse de nuevo a
la red de forma manual. Si el perfil se elimina definitivamente, la aplicación tiene que
proporcionar un nuevo archivo de aprovisionamiento que elimine el perfil asociado.
Alternar métodos de autenticación
Si la aplicación es capaz de autenticarse con un método que no sea WISPr, puedes
utilizarlo. Una vez consigas autenticarte en la red con un método alternativo, habrá
que completar la conexión llamando al método SkipAuthentication del objeto
HotspotAuthenticationContext. Cuando se llama a este método, Windows detecta
de nuevo la conectividad a Internet y ayuda a que la interfaz de usuario refleje
correctamente el estado de autenticación tan pronto como sea posible.
Hay que tener en cuenta que las zonas con cobertura inalámbrica que no indiquen
que admiten el protocolo WISPr no invocan el evento HotspotAuthentication. Sin
embargo, esto permitirá que las aplicaciones puedan elegir un protocolo diferente
para utilizarlo en la respuesta o para utilizar una versión personalizada de WISPr, si es
necesario.
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 12
Interactuar con el usuario
En el caso de que se precise la interactuación del usuario antes de comenzar con la
autenticación, la aplicación tendrá que llamar al método TriggerAttentionRequired
del objeto HotspotAuthenticationContext. Esto resulta muy útil en circunstancias
como las siguientes:

El usuario ha seleccionado no almacenar las credenciales en la aplicación y
tiene que iniciar sesión.

Al conectarse se producirá un cargo en la tarjeta de crédito del usuario o en
otra cuenta y se precisa del consentimiento antes de comenzar.

No hay crédito disponible en la cuenta del usuario y se precisa de una nueva
compra.
Este método no completa la autenticación. Cuando se invoca este método, la
aplicación solicita que se inicie en primer plano con los argumentos especificados. El
token del evento debería pasar a la aplicación de primer plano para que pueda
recuperar el objeto HotspotAuthenticationContext y completar la autenticación con
uno de los otros tres métodos.
No se puede garantizar que la solicitud de la aplicación con la que se inicia tenga
éxito. El evento Autenticación en zonas con cobertura inalámbrica se puede originar
por una conexión automática mientras el equipo está en modo de espera conectado.
La aplicación solo se inicia cuando el equipo deja de estar en modo de espera
conectado, cuando se haya desbloqueado y mientras esté conectado a la red
inalámbrica. Como esto retrasa el acceso a Internet hasta que el usuario desbloquee
el equipo, es aconsejable evitar este estado siempre que las credenciales se puedan
generar automáticamente.
Hotspot 2.0
Hotspot 2.0 es un estándar muy reciente con el que se facilita la autenticación en
zonas con cobertura inalámbrica. En lugar de la práctica actual del sector de redes en
zonas de conexión inalámbrica sin cifrar, Hotspot 2.0 ofrece una conexión cifrada
entre el cliente y el punto de acceso, usando el IEEE 802.11u para comunicarse con el
proveedor antes de establecer una conexión. La autenticación y el cifrado se
obtienen usando WPA2-Enterprise con uno de los distintos métodos EAP.
Windows no admite la detección o el registro en línea de partes de Hotspot 2.0, pero
sí admite WPA2-Enterprise y todos los métodos EAP que precise la especificación de
Hotspot 2.0. Por lo tanto, Windows 8 será capaz de conectarse a una red Hotspot 2.0
cuando el usuario tenga las credenciales.
Estos son los tipos de credenciales comunes que define Hotspot 2.0:
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 13
Tabla 3. Tipos de credenciales de Hotspot 2.0
Credencial
Método EAP
Método
EAP
admitido
Nombre de
usuario y
contraseña
Certificado
SIM
El usuario
puede
especificar
credenciales
El operador
puede
aprovisionar
credenciales
Sí
No
EAP-TTLS
Sí
Sí*
EAP-TLS
Sí
No
EAP-SIM o EAPSí
Sí*
Sí
AKA
*El usuario puede seleccionar entre los certificados o SIM que ya hay en el sistema.
Como Windows no admite la detección 802.11u, los operadores deben aprovisionar a
Windows con perfiles inalámbricos que contengan los SSID correspondientes a sus
redes.
Tareas iniciales con una aplicación de autenticación en una zona
con cobertura inalámbrica
Revisión de la muestra
La muestra de autenticación en una zona con cobertura inalámbrica muestra cómo se
aplica un archivo de aprovisionamiento y cómo se controla el evento
HotspotAuthentication. Esta muestra no funciona con API privilegiadas, lo que
significa que demuestra cómo se aplican metadatos de aprovisionamiento firmados.
Para ver un ejemplo de cómo se usan los metadatos de aprovisionamiento sin firmar
con API privilegiadas, consulta Muestra de aprovisionamiento de banda ancha móvil.
Actualización de la muestra
El proyecto de la muestra usa el identificador de operador predeterminado y el
nombre de familia de la aplicación. Para poder usar la muestra en tu propio entorno
de pruebas, debes cambiar los siguientes elementos:

Actualiza tu identificador de operador. Si vas a publicar una aplicación de
operador de telefonía móvil, este será el identificador de la experiencia
asociado con tus metadatos de aplicación y servicio. Si eres un operador solo
de Wi-Fi, genera un nuevo GUID que se usará como identificador de tu
empresa.

Actualiza el SSID. El SSID que uses para las pruebas debe coincidir con el SSID
del archivo de aprovisionamiento y debe ofrecer el portal cautivo y el desafío
WISPr a los clientes que se conecten.

Firma el archivo de aprovisionamiento. Si eres un operador solo de Wi-Fi,
debes firmar el archivo de aprovisionamiento. En el SDK de Windows 8,
busca la herramienta ProvisioningTestHelper.psd1. Al importar esta
herramienta a una sesión de PowerShell, se agregan cuatro cmdlets
adicionales:
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 14
o
Install-TestEVCert: Genera un nuevo certificado de entidad de
certificación, lo registra en el equipo de pruebas como un proveedor
SSL de validación extendida de confianza, y lo usa para generar y
firmar un certificado de validación extendida que se usará para
firmar.
o
ConvertTo-SignedXml: Usa un certificado de validación extendida
(generado para las pruebas o emitido por un proveedor de terceros)
para aplicar una firma XML-DSig a un archivo XML de metadatos de
aprovisionamiento. Esta firma de un certificado de confianza hace
que Windows acepte el archivo de aprovisionamiento como válido de
una aplicación de operador sin hardware afiliado.
o
Test-SignedXml: Comprueba que el archivo de aprovisionamiento
cumple el esquema y tiene una firma válida.
o
Install-RootCertFromFile: aplica el certificado raíz de prueba en una
máquina diferente para probar la experiencia del cliente en una
máquina distinta a la del equipo de desarrollo.
Comprobación de los eventos en segundo plano
Después de conectarte a tu red de cobertura inalámbrica, comprueba que se inicia el
evento en segundo plano. Si no, comprueba lo siguiente:

¿Windows detectó tu zona con cobertura inalámbrica? En caso afirmativo, la
lista de redes debe indicar una conexión limitada. Si Windows detecta
conectividad con Internet después de conectarse a la red, no se llevarán a
cabo acciones de autenticación en zona con cobertura inalámbrica.

¿Windows detectó WISPr en tu zona con cobertura inalámbrica? En caso
afirmativo, se iniciará el evento en segundo plano o se pedirán las
credenciales al usuario. Si en lugar de esto Windows abre el explorador, no se
detectó WISPr. Comprueba que el mensaje XML está presente en la página de
redirección del explorador y que cumple la especificación WISPr.

¿Tu aplicación está correctamente asociada al perfil? En caso afirmativo, se
iniciará el evento en segundo plano. De lo contrario, se pedirán las
credenciales al usuario cuando se conecte manualmente a la red. Comprueba
que el nombre de familia de la aplicación que se especificó en ExtensionId
coincide con el nombre de la aplicación y que el aprovisionamiento se realizó
correctamente.
A continuación, comprueba que puedes controlar correctamente la autenticación en
la red. En particular, debes abarcar los casos siguientes:

Autenticación correcta: En el caso ideal, tu aplicación puede proporcionar las
credenciales y conectar el usuario a la red.

Interacción del usuario: Si necesitas interactuar con el usuario en
determinados casos, asegúrate de que tu aplicación se inicia en el contexto
correcto para llevar a cabo la interacción y no simplemente en su página
principal.
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 15

Autenticación incorrecta: Especialmente cuando se usan prefijos, debes
considerar la posibilidad de que una red coincida con tu prefijo, pero no
puedas generar credenciales para ella. En este caso, debes interrumpir la
autenticación.

Acceso denegado: En algunos casos, tu aplicación recibirá el evento en
segundo plano, pero quizás no pueda recuperar los detalles del intento de
autenticación. En este caso, el evento en segundo plano debe terminar
limpiamente en cuanto sea posible.
Recursos
Diseño táctil
http://go.microsoft.com/fwlink/?LinkId=244250
Aprovisionamiento de metadatos de banda ancha móvil
http://go.microsoft.com/fwlink/?linkid=242064
28 de septiembre de 2012
© 2012 Microsoft. Todos los derechos reservados.
Descargar