Параметри авторизації, що задають у файлі Web.config, дублюють ряд параметрів IIS. Якщо параметри авторизації задані як файлом Web.config, так і параметрами IIS, першими перевіряються саме вони, а лише потім - файл Web.config. У результаті, як правило, використовуються параметри, що задають мінімальні права доступу.
Для перегляду параметрів авторизації, заданих в IIS, виконайте наступні дії.
1. В оснащенні IIS клацніть правою кнопкою миші папку Web-додатку й виберіть із контекстного меню елемент Properties - IS відкриє діалогове вікно властивостей папки (рис. 2...).
2. Перейдіть на вкладку Directory Security і в групі Anonymous Access And Authentication Control клацніть Edit. IIS відкриє діалогове вікно Authentication Methods, показане на рис. 2.6
Перша група параметрів у цьому діалоговому вікні управляє анонімним доступом користувачів, що не пройшли аутентификацию. Зняття відповідного прапорця рівносильно додаванню елемента <deny users="?"> у файл Web.config. Прапорці в другій секції діалогового вікна дозволяють додатку використати, крім механізмів аутентификации Windows, аутентификацию Basic або Digest. Ці методи менш безпечні, ніж аутентифікація за допомогою убудованих механізмів Windows, форм або служби Passport і реалізуються за участю IIS, а не ASP.NET.
Як видно з рисунку, IIS дозволяє задіяти кілька методів аутентификації. Якщо включено кілька методів аутентификації, метод Authentication об'єкта Identity дозволяє визначити в коді, який із цих методів застосований для аутентификації користувача. Це робиться в такий спосіб:
Response.Write(User.Identity.AuthenticationType);