Métodos de autenticación en zonas con cobertura
Anuncio
Integración de Windows 8 con operadores de zonas con cobertura inalámbrica La mejor experiencia en aplicaciones y exploradores 28 de septiembre de 2012 Resumen Este documento proporciona información sobre las zonas con cobertura inalámbrica para Windows 8. Proporciona instrucciones para que los operadores de zonas con cobertura inalámbrica puedan ofrecer una experiencia personalizada a los usuarios de Windows 8. Se da por sentado que el lector está familiarizado con las prácticas comunes de estas zonas, como portales cautivos y el protocolo WISPr. Esta información se aplica a los siguientes sistemas operativos: Windows 8 Las referencias y los recursos que se mencionan en este documento están enumerados en una lista al final del documento. La versión actual de este documento se mantiene actualizada en Internet en: Integración de Windows 8 con operadores de zonas con cobertura inalámbrica Aviso de declinación de responsabilidades: Este documento se proporciona tal como está. La información y las opiniones expresadas en este documento, incluidas las direcciones URL y otras referencias a sitios web de Internet, pueden cambiar sin notificación alguna. Parte de la información está relacionada con una versión preliminar del producto, que podría ser modificada considerablemente antes de su lanzamiento comercial. Microsoft no ofrece garantía alguna, ya sea explícita o implícita, con respecto a la información que se proporciona en este documento. La responsabilidad de usar este documento corre por tu cuenta. Algunos de los ejemplos ilustrados aquí se proporcionan únicamente como referencia y son ficticios. No se pretende realizar ni debe interpretarse ninguna conexión o asociación reales. Este documento no concede ningún derecho legal sobre la propiedad intelectual de ninguno de los productos de Microsoft. Puedes copiarlo y usarlo como referencia interna. Puedes modificar este documento para utilizarlo como referencia interna. © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 2 Historial del documento Fecha 28 de septiembre de 2012 15 de agosto de 2012 27 de junio de 2012 31 de mayo de 2012 28 de febrero de 2012 Cambio Actualizado para reflejar los cambios en la personalización de marca Actualizado para Windows 8 RTM Información actualizada sobre aprovisionamiento para la autenticación en zonas con cobertura inalámbrica Información actualizada sobre aprovisionamiento para la autenticación en zonas con cobertura inalámbrica, firma del archivo de aprovisionamiento, administración de numerosos SSID y cómo comenzar con una aplicación de autenticación en zonas con cobertura inalámbrica Primera publicación Contenido Introducción ................................................................................................................... 3 Métodos de autenticación en zonas con cobertura inalámbrica................................... 3 Portales cautivos ........................................................................................................ 3 Control coherente de la conexión ......................................................................... 4 Páginas web adaptadas a sistemas táctiles ........................................................... 4 Aprovisionamiento tras la compra ........................................................................ 4 Ofrecimiento de instalación de aplicaciones......................................................... 5 Autenticación WISPr .................................................................................................. 5 Aprovisionamiento para la autenticación en zonas con cobertura inalámbrica ... 6 Administración de numerosos SSID....................................................................... 8 Administración del evento HotspotAuthentication ............................................ 10 Hotspot 2.0 .............................................................................................................. 12 Tareas iniciales con una aplicación de autenticación en una zona con cobertura inalámbrica ................................................................................................................... 13 Revisión de la muestra ............................................................................................. 13 Actualización de la muestra ..................................................................................... 13 Comprobación de los eventos en segundo plano .................................................... 14 Recursos ....................................................................................................................... 15 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 3 Introducción Las zonas con acceso inalámbrico han proliferado en áreas públicas como aeropuertos, cafeterías y hoteles. Los operadores de tales redes normalmente ofrecen a sus clientes acceso a Internet como un servicio complementario, financiado por el propietario del lugar, o como un servicio bajo pago. Han surgido varios métodos para procesar la autenticación en estas redes. La redes abiertas con portales cautivos (llamadas UAM [del inglés “Universal Access Method”] en WISPr) son el denominador común, puesto que los usuarios pueden acceder desde cualquier dispositivo que esté equipado con una interfaz WLAN y un explorador web. Sin embargo, las extensiones de portales cautivos (WISPr) y los métodos de autenticación alternativos (Hotspot 2.0, EAP) ofrecen otras opciones con las que se simplifica la conexión en zonas con cobertura inalámbrica. En este documento se trata la interacción entre un operador en estas zonas, sus aplicaciones y Windows 8. Las acciones que se describen las puede realizar una aplicación estándar descargada de la Tienda Windows o una aplicación de un operador instalada por Windows para complementar un dispositivo de banda ancha móvil que esté conectado al PC. Métodos de autenticación en zonas con cobertura inalámbrica Portales cautivos La mayoría de zonas con cobertura inalámbrica implementan la interacción con los clientes a través de un “portal cautivo”, una conexión de red restringida en la que todas las solicitudes HTTP de clientes se redirigen al sitio del proveedor. Este sitio puede solicitar a los usuarios que aprueben los términos y condiciones del operador, que introduzcan la información del pago o las credenciales para verificar los acuerdos de pago previos. Se dan varios problemas en esta experiencia: Otras aplicaciones (como clientes de correo electrónico) también se redirigen. Si el usuario intenta utilizar en primer lugar una aplicación que no sea el explorador web, se producirán errores que no se podrán resolver. Si se intenta una conexión inicial a través de SSL, el explorador muestra una advertencia de seguridad al usuario antes de encontrar el redireccionamiento al portal cautivo. Esto crea una experiencia confusa para los usuarios, porque deben pasar por alto la advertencia de seguridad para poder conectarse. Windows 8 admite redes de portales cautivos e inicia inmediatamente el explorador web cuando detecta un portal cautivo. El usuario verá la página web con la marca del operador en el primer plano del dispositivo, lo que le ayudará a comprender qué acciones tendrá que llevar a cabo para autenticarse a través del portal cautivo. Windows proporciona también mecanismos con los que los usuarios podrán omitir los portales cautivos en los siguientes intentos. Sin embargo, el portal cautivo será siempre la primera experiencia para el usuario nuevo. 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 4 Para que la experiencia de estos usuarios sea siempre la mejor posible, ofrecemos en esta sección algunos de los procedimientos recomendados para los portales cautivos. Control coherente de la conexión Windows realiza un número de pruebas de red cuando se conecta por primera vez a una red para determinar la conectividad a Internet y el estado del portal cautivo. El sitio de destino de estas pruebas es msftncsi.com, un dominio reservado que se utiliza exclusivamente para probar la conectividad. Cuando se detecta un portal cautivo, las pruebas se repiten periódicamente hasta que este se libera. Para evitar que se produzcan falsos positivos o falsos negativos, el portal cautivo no debería realizar lo siguiente: Dar acceso a www.msftncsi.com cuando el usuario no tiene acceso a Internet en general. Cambiar el comportamiento del portal cautivo que se muestra a los clientes. Por ejemplo, no debería redirigir ciertas solicitudes y dejar otras; habría que redirigir todas las solicitudes hasta que la autenticación se produzca de forma correcta. o Las mitigaciones de denegación de servicio deberían estar basadas en la frecuencia de intentos por cliente y no en el número de intentos por cliente o en el total de intentos de todos los clientes. Páginas web adaptadas a sistemas táctiles Windows 8 ha sido diseñado como una experiencia táctil, y esto también incluye las páginas web. Considera la posibilidad de diseñar la página web con controles más grandes que los usuarios táctiles manejen con mayor facilidad. Utiliza un diseño con el que se pueda interactuar sin que haya que realizar demasiados desplazamientos e divide el flujo en varias páginas si lo consideras necesario. Para obtener más información sobre el diseño web adaptado a sistemas táctiles, consulta Diseño para interacción táctil. Aprovisionamiento tras la compra Un sitio web puede utilizar el mismo archivo de aprovisionamiento que una aplicación. Comprueba si entre los códigos JavaScript de la página web se encuentra disponible el método window.external.msProvisionNetworks. Si lo está, el explorador podrá transmitir un archivo de aprovisionamiento al sistema operativo. Consulta Aprovisionamiento de metadatos de banda ancha móvil para obtener más información sobre cómo se genera este archivo de aprovisionamiento. Ten en cuenta que este archivo debe estar firmado cuando lo proporciona un sitio web o una aplicación que no es la aplicación del operador de telefonía móvil. Al pasar un archivo XML de aprovisionamiento, el sistema operativo podrá conectarse automáticamente a otras redes incluidas en el servicio del usuario, incluso si tienen diferentes SSID. Si utilizas credenciales WISPr estáticas, también podrás disfrutar de una experiencia de conexión más eficaz, porque Windows se podrá autenticar con esas credenciales de forma automática en siguientes ocasiones. 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 5 Ofrecimiento de instalación de aplicaciones La experiencia más enriquecedora en Windows 8 se consigue usando una aplicación de la Tienda Windows. No se puede dar acceso a únicamente una aplicación de la Tienda Windows a través de un portal cautivo, por lo que la aplicación no se podrá instalar antes de que el usuario obtenga conectividad a Internet. Sin embargo, una vez que se ha autenticado el usuario, podrás dirigirlo a la Tienda Windows para instalar la aplicación. Autenticación WISPr Una zona con cobertura inalámbrica compatible con WISPr incluiría una carga como la siguiente en la página de su portal cautivo: <HTML> <!-<?xml version=”1.0” encoding=”UTF-8”?> <WISPAccessGatewayParam xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance” xsi:noNamespaceSchemaLocation=”http://www.acmewisp.com/WISPAccess GatewayParam.xsd”> <Redirect> <AccessProcedure>1.0</AccessProcedure> <AccessLocation>Hotel Contoso Guest Network</AccessLocation> <LocationName>Hotel Contoso</LocationName> <LoginURL>https://captiveportal.com/login</LoginURL> <MessageType>100</MessageType> <ResponseCode>0</ResponseCode> </Redirect> </WISPAccessGatewayParam> --> </HTML> Este XML, contenido en un comentario HTML para evitar que se muestre a los clientes, puede ser interpretado por un “cliente inteligente” como Windows para saber donde hay que enviar las credenciales del usuario. Cuando un cliente se conecta manualmente a una red compatible con WISPr, verá el siguiente mensaje: 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 6 A los clientes que seleccionen “No, abrir un explorador web para completar la conexión” se les conducirá al portal cautivo del operador, como normalmente ocurre. A los clientes que seleccionen “Sí”, se les pedirán las credenciales como parte de la experiencia de conexión de Windows. Estas credenciales se proporcionan automáticamente al sitio web del operador y el usuario se conectará una vez se autentique correctamente. La aplicación del operador también puede proporcionar credenciales de manera automática o sustituir la solicitud de credenciales con una compra personalizada o un flujo de autenticación. Para ello, la red tiene que ser compatible con WISPr y la aplicación tiene que estar instalada antes de que el usuario se conecte a la red. Si la red solo ofrece WISPr a clientes con algunas cadenas de agente de usuario, el usuario no verá esta petición y no podrá introducir manualmente las credenciales. Sin embargo, la aplicación podrá aun participar en la autenticación WISPr incluyendo el agente de usuario adecuado cuando esté creando el perfil de red. Aprovisionamiento para la autenticación en zonas con cobertura inalámbrica Para que una aplicación participe en un proceso de autenticación en una zona con cobertura inalámbrica, hay que crear primero uno o varios perfiles para zonas con cobertura inalámbrica. Esto se hace con la interfaz del agente de aprovisionamiento, como se explica en Aprovisionamiento de metadatos de banda ancha móvil. La zona con cobertura inalámbrica debe utilizar la autenticación abierta y debe incluir el elemento HotspotProfile. En la siguiente muestra de archivo de aprovisionamiento se indica cómo asociar un SSID con una aplicación: <WLANProfile xmlns="http://www.microsoft.com/networking/CarrierControl/WLAN/v1"> <name>Contoso Wi-Fi</name> <SSIDConfig> <SSID> 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 7 <name>Contoso Wi-Fi___33</name> </SSID> </SSIDConfig> <MSM> <security> <authEncryption> <authentication>open</authentication> <encryption>none</encryption> <useOneX>false</useOneX> </authEncryption> <HotspotProfile xmlns="http://www.microsoft.com/networking/WLAN/HotspotProfile/v1"> <ExtAuth> <ExtensionId>AñadeAquíElIdDeAplicación</ExtensionId> </ExtAuth> <TrustedDomains> <TrustedDomain>www.mycaptiveportal.com</TrustedDomain> </TrustedDomains> <UserAgent>contoso</UserAgent> </HotspotProfile> </security> </MSM> </WLANProfile> El campo ExtensionId contiene el nombre de familia del paquete correspondiente a la aplicación que se usará para generar credenciales de zona con cobertura inalámbrica. Visual Studio genera automáticamente el nombre de familia. Para encontrar el nombre de familia del paquete de tu aplicación, abre el archivo package.appxmanifest en tu solución de Visual Studio y ve a la ventana Empaquetado. Una vez procesado el archivo de aprovisionamiento, la aplicación con el nombre de familia del paquete "AñadeAquíElIdDeAplicación" debe registrarse para el evento HotspotAuthentication. Es necesario que el archivo de aprovisionamiento se procese en primer lugar para poder conceder a la aplicación especificada acceso a este evento. Una aplicación puede registrar un solo controlador para este evento. El registro de eventos sigue siendo válido siempre que haya al menos un perfil que haga referencia a la aplicación correspondiente. Firma del archivo de aprovisionamiento Como el aprovisionamiento modifica la configuración del sistema que continúa una vez que el usuario haya salido de la aplicación, o incluso después de haberla desinstalado, se requiere una medida de verificación más estricta que para la mayoría de las API. Esta verificación se consigue mediante una combinación de hardware específico del operador (el SIM), firmas criptográficas y la confirmación del usuario. Tabla 1. Requisitos de verificación ¿Hay una SIM presente? Origen de aprovisionamiento Requisito de firma Requisito de confirmación del usuario Sí, proveedor de banda ancha móvil Aplicación del operador de telefonía móvil Ninguno Ninguno 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 8 ¿Hay una SIM presente? Origen de aprovisionamiento Requisito de firma Requisito de confirmación del usuario Sí, proveedor de banda ancha móvil Sitio web del operador El certificado debe: Ninguno No, proveedor de Wi-Fi Sitio web o aplicación del operador de telefonía móvil Conducir a la entidad de certificación raíz de confianza Estar asociado a hardware de banda ancha móvil en la base de datos de APN o en los metadatos de la experiencia El certificado debe: Conducir a la entidad de certificación raíz de confianza Estar marcado para la validación extendida Se solicita la confirmación del usuario la primera vez que se usa el certificado, pero no después Administración de numerosos SSID Varios SSID por perfil Si vas a aprovisionar Windows para que se conecte a varios SSID, es posible y recomendable proporcionar varios SSID por perfil. De este modo se reducirá enormemente el tamaño del archivo de aprovisionamiento y mejorará también la capacidad de respuesta del equipo. Si tienes previsto usar las API que se mencionan más adelante para marcar una red que no se deba usar más, estas acciones se aplicarán a todos los SSID que estén cubiertos por el mismo perfil, por lo que el procedimiento recomendado es agrupar los SSID relacionados en un único perfil. Hay un máximo de diez perfiles con 25 SSID principales cada uno. SSID secundarios Si necesitas configurar más de 25 SSID por perfil, puedes especificar SSID secundarios para cada perfil en la nota SSIDConfig de la sección HotspotAuth. Esto no crea perfiles adicionales para estas redes pero asocia la configuración de este perfil relativa a la zona con cobertura inalámbrica con ese SSID. 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 9 Si el usuario se conecta manualmente en el futuro y crea un perfil nuevo, la configuración de este perfil relativa a la zona con cobertura inalámbrica se asocia automáticamente al perfil creado por el usuario. Como los SSID secundarios no se conectan automáticamente a menos que el usuario los conecte manualmente una vez, estas serán redes menos comunes que la mayoría de los usuarios no encontrarán. Hay un número máximo de 250 SSID secundarios por perfil. Prefijos Si necesitas asociar un conjunto dinámico o especialmente numeroso de SSID, la lista de SSID puede contener prefijos y SSID estáticos. Esto te permite asociar tu aplicación con un gran conjunto de SSID que tienen cuatro o más octetos en común al principio del SSID. Los prefijos solo se pueden usar en SSID secundarios, no principales. Un procedimiento recomendado es crear SSID principales para la mayoría de las variantes comunes y, después, un prefijo secundario para administrar los casos menos comunes. Un prefijo cuenta como un único SSID secundario aunque se aplique a varias redes. Tabla 2. SSID para perfiles Número de SSID Tipo de perfil Ubicación de la lista de SSID Comentarios 1 - 10 Perfil de WLAN sencillo WLANProfile/SSIDConfig Ninguno 11 - 250 Perfil de WLAN con varios SSID principales WLANProfile/SSIDConfig Agrupa los SSID relacionados en cada perfil; las acciones de aplicaciones y usuarios se aplican a todos los SSID de un perfil 250 - 2750 Perfil de WLAN con varios SSID principales y SSID secundarios SSID principales en WLANProfile/SSIDConfig Haz que los SSID más frecuentes sean principales; los SSID menos comunes deben ser secundarios SSID secundarios en WLANProfile/HotspotAuth/SSIDConfig 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 10 Número de SSID Tipo de perfil Ubicación de la lista de SSID Comentarios 2750+ Perfil de WLAN con varios SSID principales y SSID secundarios (prefijos incluidos) SSID principales en WLANProfile/SSIDConfig Incluye las variantes más comunes como SSID principales, aunque los prefijos de SSID secundarios también los cubran. SSID secundarios en WLANProfile/HotspotAuth/SSIDConfig Administración del evento HotspotAuthentication Windows activa el evento HotspotAuthentication cuando detecte un portal cautivo compatible con WISPr. Cuando se genera el evento, la aplicación receptora debe llamar inmediatamente a la función Windows.Networking.NetworkOperator.HotspotAuthentication.TryGetAuthenticati onContext con el token de evento que se proporcionó como argumento para el controlador de eventos. Esta función devolverá un objeto que administrará el intento de autenticación en una zona con cobertura inalámbrica. En el caso de que la función genere un error, el controlador del evento saldrá sin realizar otras acciones adicionales. Las propiedades del objeto permiten que la aplicación recupere lo siguiente: El SSID de la red inalámbrica Detalles sobre el adaptador de red que está conectado a la zona con cobertura inalámbrica Dirección URL que contenía el mensaje WISPr La carga XML del mensaje WISPr La dirección URL de autenticación a la que se proporcionarán las credenciales Existen otras API para recuperar: El BSSID de la red inalámbrica (consulta el espacio de nombres Windows.Networking.Connectivity) Parámetros DHCP de la red (consulta Win32 y COM para aplicaciones de la Tienda Windows: redes) Las credenciales se generarán con esta información y algunos otros datos que necesite obtener la aplicación del sistema local o de la red. El objeto también contiene métodos que permiten a la aplicación continuar con la autenticación en la zona con cobertura inalámbrica o completarla. Las posibles rutas para la aplicación están cubiertas en las siguientes secciones. 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 11 Emitir credenciales En el caso más sencillo, la aplicación puede generar credenciales basándose en la información que tiene o que puede recuperar. Por ejemplo, un nombre de usuario y una contraseña se generan con la información de la carga WISPr y la información sobre el adaptador de red. Tras realizar las acciones necesarias para generar u obtener las credenciales, la aplicación llama al método IssueCredentials del objeto HotspotAuthenticationContext. Este método permite que la aplicación proporcione lo siguiente: El parámetro UserName de WISPr El parámetro Password de WISPr Parámetros arbitrarios y no estándar que se incluirán en la respuesta WISPr Comportamiento en los errores En el caso de que el servidor rechace las credenciales que ha proporcionado la aplicación, Windows se desconecta de la red y no vuelve a intentar conectarse en la sesión de usuario actual. La marca final permite a la aplicación indicar que Windows no debería volver a intentar conectarse automáticamente con este perfil si no se ha logrado con estas credenciales. Abortar autenticación Si la aplicación descubre que no puede crear credenciales para la red actual (porque los acuerdos de perfil móvil hayan cambiado, porque la información no esté disponible o por cualquier otro motivo), esta debe llamar al método AbortAuthentication del objeto HotspotAuthenticationContext. Windows se desconecta de la red y no vuelve a intentar conectarse en la sesión de usuario actual. Esta función acepta una marca que indica que Windows no volverá a intentar conectarse automáticamente con este perfil. Esto no significa que el perfil se vaya a eliminar del sistema, por lo que la aplicación podría solicitar de nuevo las credenciales si el usuario intenta conectarse de nuevo a la red de forma manual. Si el perfil se elimina definitivamente, la aplicación tiene que proporcionar un nuevo archivo de aprovisionamiento que elimine el perfil asociado. Alternar métodos de autenticación Si la aplicación es capaz de autenticarse con un método que no sea WISPr, puedes utilizarlo. Una vez consigas autenticarte en la red con un método alternativo, habrá que completar la conexión llamando al método SkipAuthentication del objeto HotspotAuthenticationContext. Cuando se llama a este método, Windows detecta de nuevo la conectividad a Internet y ayuda a que la interfaz de usuario refleje correctamente el estado de autenticación tan pronto como sea posible. Hay que tener en cuenta que las zonas con cobertura inalámbrica que no indiquen que admiten el protocolo WISPr no invocan el evento HotspotAuthentication. Sin embargo, esto permitirá que las aplicaciones puedan elegir un protocolo diferente para utilizarlo en la respuesta o para utilizar una versión personalizada de WISPr, si es necesario. 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 12 Interactuar con el usuario En el caso de que se precise la interactuación del usuario antes de comenzar con la autenticación, la aplicación tendrá que llamar al método TriggerAttentionRequired del objeto HotspotAuthenticationContext. Esto resulta muy útil en circunstancias como las siguientes: El usuario ha seleccionado no almacenar las credenciales en la aplicación y tiene que iniciar sesión. Al conectarse se producirá un cargo en la tarjeta de crédito del usuario o en otra cuenta y se precisa del consentimiento antes de comenzar. No hay crédito disponible en la cuenta del usuario y se precisa de una nueva compra. Este método no completa la autenticación. Cuando se invoca este método, la aplicación solicita que se inicie en primer plano con los argumentos especificados. El token del evento debería pasar a la aplicación de primer plano para que pueda recuperar el objeto HotspotAuthenticationContext y completar la autenticación con uno de los otros tres métodos. No se puede garantizar que la solicitud de la aplicación con la que se inicia tenga éxito. El evento Autenticación en zonas con cobertura inalámbrica se puede originar por una conexión automática mientras el equipo está en modo de espera conectado. La aplicación solo se inicia cuando el equipo deja de estar en modo de espera conectado, cuando se haya desbloqueado y mientras esté conectado a la red inalámbrica. Como esto retrasa el acceso a Internet hasta que el usuario desbloquee el equipo, es aconsejable evitar este estado siempre que las credenciales se puedan generar automáticamente. Hotspot 2.0 Hotspot 2.0 es un estándar muy reciente con el que se facilita la autenticación en zonas con cobertura inalámbrica. En lugar de la práctica actual del sector de redes en zonas de conexión inalámbrica sin cifrar, Hotspot 2.0 ofrece una conexión cifrada entre el cliente y el punto de acceso, usando el IEEE 802.11u para comunicarse con el proveedor antes de establecer una conexión. La autenticación y el cifrado se obtienen usando WPA2-Enterprise con uno de los distintos métodos EAP. Windows no admite la detección o el registro en línea de partes de Hotspot 2.0, pero sí admite WPA2-Enterprise y todos los métodos EAP que precise la especificación de Hotspot 2.0. Por lo tanto, Windows 8 será capaz de conectarse a una red Hotspot 2.0 cuando el usuario tenga las credenciales. Estos son los tipos de credenciales comunes que define Hotspot 2.0: 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 13 Tabla 3. Tipos de credenciales de Hotspot 2.0 Credencial Método EAP Método EAP admitido Nombre de usuario y contraseña Certificado SIM El usuario puede especificar credenciales El operador puede aprovisionar credenciales Sí No EAP-TTLS Sí Sí* EAP-TLS Sí No EAP-SIM o EAPSí Sí* Sí AKA *El usuario puede seleccionar entre los certificados o SIM que ya hay en el sistema. Como Windows no admite la detección 802.11u, los operadores deben aprovisionar a Windows con perfiles inalámbricos que contengan los SSID correspondientes a sus redes. Tareas iniciales con una aplicación de autenticación en una zona con cobertura inalámbrica Revisión de la muestra La muestra de autenticación en una zona con cobertura inalámbrica muestra cómo se aplica un archivo de aprovisionamiento y cómo se controla el evento HotspotAuthentication. Esta muestra no funciona con API privilegiadas, lo que significa que demuestra cómo se aplican metadatos de aprovisionamiento firmados. Para ver un ejemplo de cómo se usan los metadatos de aprovisionamiento sin firmar con API privilegiadas, consulta Muestra de aprovisionamiento de banda ancha móvil. Actualización de la muestra El proyecto de la muestra usa el identificador de operador predeterminado y el nombre de familia de la aplicación. Para poder usar la muestra en tu propio entorno de pruebas, debes cambiar los siguientes elementos: Actualiza tu identificador de operador. Si vas a publicar una aplicación de operador de telefonía móvil, este será el identificador de la experiencia asociado con tus metadatos de aplicación y servicio. Si eres un operador solo de Wi-Fi, genera un nuevo GUID que se usará como identificador de tu empresa. Actualiza el SSID. El SSID que uses para las pruebas debe coincidir con el SSID del archivo de aprovisionamiento y debe ofrecer el portal cautivo y el desafío WISPr a los clientes que se conecten. Firma el archivo de aprovisionamiento. Si eres un operador solo de Wi-Fi, debes firmar el archivo de aprovisionamiento. En el SDK de Windows 8, busca la herramienta ProvisioningTestHelper.psd1. Al importar esta herramienta a una sesión de PowerShell, se agregan cuatro cmdlets adicionales: 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 14 o Install-TestEVCert: Genera un nuevo certificado de entidad de certificación, lo registra en el equipo de pruebas como un proveedor SSL de validación extendida de confianza, y lo usa para generar y firmar un certificado de validación extendida que se usará para firmar. o ConvertTo-SignedXml: Usa un certificado de validación extendida (generado para las pruebas o emitido por un proveedor de terceros) para aplicar una firma XML-DSig a un archivo XML de metadatos de aprovisionamiento. Esta firma de un certificado de confianza hace que Windows acepte el archivo de aprovisionamiento como válido de una aplicación de operador sin hardware afiliado. o Test-SignedXml: Comprueba que el archivo de aprovisionamiento cumple el esquema y tiene una firma válida. o Install-RootCertFromFile: aplica el certificado raíz de prueba en una máquina diferente para probar la experiencia del cliente en una máquina distinta a la del equipo de desarrollo. Comprobación de los eventos en segundo plano Después de conectarte a tu red de cobertura inalámbrica, comprueba que se inicia el evento en segundo plano. Si no, comprueba lo siguiente: ¿Windows detectó tu zona con cobertura inalámbrica? En caso afirmativo, la lista de redes debe indicar una conexión limitada. Si Windows detecta conectividad con Internet después de conectarse a la red, no se llevarán a cabo acciones de autenticación en zona con cobertura inalámbrica. ¿Windows detectó WISPr en tu zona con cobertura inalámbrica? En caso afirmativo, se iniciará el evento en segundo plano o se pedirán las credenciales al usuario. Si en lugar de esto Windows abre el explorador, no se detectó WISPr. Comprueba que el mensaje XML está presente en la página de redirección del explorador y que cumple la especificación WISPr. ¿Tu aplicación está correctamente asociada al perfil? En caso afirmativo, se iniciará el evento en segundo plano. De lo contrario, se pedirán las credenciales al usuario cuando se conecte manualmente a la red. Comprueba que el nombre de familia de la aplicación que se especificó en ExtensionId coincide con el nombre de la aplicación y que el aprovisionamiento se realizó correctamente. A continuación, comprueba que puedes controlar correctamente la autenticación en la red. En particular, debes abarcar los casos siguientes: Autenticación correcta: En el caso ideal, tu aplicación puede proporcionar las credenciales y conectar el usuario a la red. Interacción del usuario: Si necesitas interactuar con el usuario en determinados casos, asegúrate de que tu aplicación se inicia en el contexto correcto para llevar a cabo la interacción y no simplemente en su página principal. 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados. Integración de Windows 8 con operadores de zonas con cobertura inalámbrica - 15 Autenticación incorrecta: Especialmente cuando se usan prefijos, debes considerar la posibilidad de que una red coincida con tu prefijo, pero no puedas generar credenciales para ella. En este caso, debes interrumpir la autenticación. Acceso denegado: En algunos casos, tu aplicación recibirá el evento en segundo plano, pero quizás no pueda recuperar los detalles del intento de autenticación. En este caso, el evento en segundo plano debe terminar limpiamente en cuanto sea posible. Recursos Diseño táctil http://go.microsoft.com/fwlink/?LinkId=244250 Aprovisionamiento de metadatos de banda ancha móvil http://go.microsoft.com/fwlink/?linkid=242064 28 de septiembre de 2012 © 2012 Microsoft. Todos los derechos reservados.
