分散アプリケーションのセキュリティ
Windows Communication Foundation (WCF) セキュリティは、転送セキュリティ、アクセス制御、および監査の 3 つの主要な機能領域に分けられます。転送セキュリティは、整合性、機密性、および認証を実現します。転送セキュリティは、トランスポート セキュリティ、メッセージ セキュリティ、または TransportWithMessageCredential のいずれかによって提供されます。
WCF のメッセージ セキュリティの概要については、「セキュリティの概要」を参照してください。WCF の他の 2 種類のセキュリティ詳細情報、「承認」および「セキュリティ イベントの監査」を参照してください。
転送セキュリティのシナリオ
WCF 転送セキュリティを使用する一般的なシナリオには、次のようなものがあります。
Windows を使用した、セキュリティで保護された転送。WCF クライアントおよびサービスが Windows ドメイン (または Windows フォレスト) で展開されます。メッセージには個人データが含まれるため、要件には、クライアントとサービスの相互認証、メッセージの整合性、および機密性が含まれます。また、特定のトランザクションが発生したという証明も必要であり、たとえば、メッセージの受信側では署名情報を記録する必要があります。
UserName と HTTPS を使用した、セキュリティで保護された転送。WCF クライアントおよびサービスを、インターネット経由で動作するように開発する必要があります。クライアント資格情報を使用して、ユーザー名とパスワードの組み合わせをデータベースに照らして認証します。サービスは、信頼された SSL (Secure Sockets Layer) 証明書を使用して HTTPS アドレスに展開されます。メッセージはインターネット経由で転送されるため、クライアントとサービスは相互認証する必要があり、メッセージの機密性と整合性を転送時に維持する必要があります。
証明書を使用した、セキュリティで保護された転送。WCF クライアントおよびサービスを、パブリック インターネット経由で動作するように開発する必要があります。クライアントとサービスには共に証明書があり、それを使用してメッセージをセキュリティ保護できます。クライアントとサービスは、インターネットを使用して相互に通信し、メッセージの整合性、機密性、および相互認証を必要とする高価値のトランザクションを実行します。
整合性、機密性、および認証
整合性、機密性、および認証の 3 つの機能は、合わせて転送セキュリティと呼ばれます。転送セキュリティは、分散アプリケーションに対する脅威の軽減に役立つ機能を提供します。転送セキュリティを構成するこれら 3 つの機能について、次の表で簡単に説明します。
| 機能 | 説明 |
|---|---|
整合性 |
"整合性" とは、特に、データが 1 つの地点から別の地点に移動し、多くのアクターによって読み取られた後などにデータが完全かつ正確であることを保証することです。整合性は、データの改ざんを防止するために保持する必要があり、一般にメッセージのデジタル署名によって実現されます。 |
機密性 |
機密性とは、メッセージが対象の閲覧者以外によって読み取られていないことを保証することです。たとえば、クレジット カード番号などは、インターネット経由で送信されるときに機密性を保持する必要があります。機密性は、多くの場合、公開キー/秘密キー スキームを使用するデータ暗号化によって実現されます。 |
認証 |
認証とは、クレーム ID を検証することです。たとえば、銀行口座の使用時には、口座の実際の所有者だけが預金の引き出しを許可されるようにすることが必須です。認証は、さまざまな手段によって実現できます。一般的な方法の 1 つとして、ユーザー/パスワード システムがあります。また、サードパーティから提供される X.509 証明書を使用する方法もあります。 |
セキュリティ モード
WCF に用意されている転送セキュリティの各モードを次の表に示します。
| モード | 説明 |
|---|---|
なし |
トランスポート層とメッセージ層でセキュリティが一切提供されません。<basicHttpBinding> 要素、つまりコードで BasicHttpBinding クラスを使用する場合を除き、このモードを既定で使用する定義済みのバインディングはありません。 |
トランスポート |
HTTPS など、セキュリティで保護されたトランスポートを使用して、整合性、機密性、および相互認証を実現します。 |
メッセージ |
SOAP メッセージ セキュリティを使用して、整合性、機密性、および相互認証を実現します。SOAP メッセージは、WS-Security 標準に従ってセキュリティ保護されます。 |
混在モード |
トランスポート セキュリティを使用して、整合性、機密性、およびサーバー認証を実現します。クライアント認証のためにメッセージ セキュリティ (WS-Security およびその他の標準) を使用します。 (このモードの列挙体は TransportWithMessageCredential になります)。 |
両方 |
両方のレベルで保護と認証を実行します。このモードは、<netMsmqBinding> 要素でのみ使用できます。 |
資格情報と転送セキュリティ
資格情報は、クレーム ID または資格を確立するために提示されるデータです。資格情報を提示することで、データおよびデータの所有権の証明を同時に行います。WCF では、トランスポートとメッセージの両方のセキュリティ レベルで、さまざまな種類の資格情報がサポートされています。WCF バインディング用の資格情報の種類を指定できます。
多くの国や地域での資格情報の例として、運転免許証があります。免許証には、個人の ID と資格を表すデータが記載されます。この免許証には所有者の写真のような形式の所有権の証明が含まれます。免許証は、政府機関など、信頼された証明機関によって発行されます。免許証はシールされ、ホログラムを含めることができ、改ざんあるいは偽造されたものではないことを示します。
一例として、WCF でサポートされている、ユーザー名と (X.509) 証明書の 2 種類の資格情報を考えてみます。
ユーザー名資格情報では、ユーザー名がクレーム ID を表し、パスワードが所有権の証明を行います。この場合の信頼された証明機関は、ユーザー名とパスワードを検証するシステムです。
証明書資格情報では、サブジェクト名、サブジェクト代替名、または証明書内の特定のフィールドを使用して、クレーム ID と資格を表すことができます。資格情報に含まれるデータの所有権の証明は、署名の生成のために関連付けられた秘密キーを使用して行われます。
転送セキュリティのプログラミングと資格情報の指定詳細情報、「バインディングとセキュリティ」および「Windows Communication Foundation のセキュリティ動作」を参照してください。
トランスポート クライアント資格情報の種類
転送セキュリティを使用するアプリケーションを作成するときに使用できる値を次の表に示します。これらの値は、コードまたはバインディング設定で使用できます。
| 設定 | 説明 |
|---|---|
なし |
クライアントは資格情報を提示する必要がないことを指定します。これにより匿名クライアントになります。 |
基本 |
基本認証を指定します。詳細については、RFC2617『HTTP Authentication: Basic and Digest Authentication』を参照してください。 |
ダイジェスト |
ダイジェスト認証を指定します。詳細については、RFC2617,『HTTP Authentication: Basic and Digest Authentication』を参照してください。 |
Ntlm |
Windows ドメインで SSPI ネゴシエーションを使用する Windows 認証を指定します。 SSPI ネゴシエーションの結果、Kerberos プロトコルまたは NTLM (NT LanMan) を使用することになります。 |
Windows |
Windows ドメインで SSPI を使用する Windows 認証を指定します。SSPI では、認証サービスとして Kerberos プロトコルまたは NTLM が選択されます。 SSPI は、最初に Kerberos プロトコルの使用を試み、使用できない場合は NTLM を使用します。 |
証明書 |
証明書 (通常は X.509) を使用して、クライアント認証を実行します。 |
メッセージ クライアント資格情報の種類
メッセージ セキュリティを使用するアプリケーションを作成するときに使用できる値を次の表に示します。これらの値は、コードまたはバインディング設定で使用できます。
| 設定 | 説明 |
|---|---|
なし |
サービスが匿名クライアントとやり取りを行うことが可能になります。 |
Windows |
Windows 資格情報の認証済みコンテキストで SOAP メッセージ交換を実行できるようにします。SSPI ネゴシエーション機構を使用して、認証サービスとして Kerberos プロトコルまたは NTLM を選択します。 |
ユーザー名 |
ユーザー名資格情報を使用したクライアントの認証をサービスで要求できるようにします。WCF では、署名の生成やデータの暗号化など、ユーザー名を使用した暗号化操作が許可されないことに注意してください。そのため、WCF では、ユーザー名資格情報を使用する場合は、トランスポートが強制的にセキュリティで保護されます。 |
Certificate |
証明書を使用したクライアントの認証を、サービスで要求することが可能になります。 |
CardSpace |
CardSpace を使用したクライアントの認証をサービスで要求できるようにします。 |
資格情報のプログラミング
WCF プログラミング モデルにより、クライアント資格情報の種類ごとに、サービス動作とチャネル動作を使用して、資格情報の値と検証コントロールを指定できます。
WCF セキュリティには、サービス資格情報動作とチャネル資格情報動作の 2 種類の資格情報があります。WCF の資格情報動作は、実際のデータ、つまりバインディングによって示されるセキュリティ要件を満たすために使用される資格情報を指定します。WCF では、クライアント クラスは、操作呼び出しとメッセージ間で変換されるランタイム コンポーネントです。すべてのクライアントが ClientBase クラスを継承します。基本クラスの ClientCredentials プロパティにより、クライアント資格情報のさまざまな値を指定できます。
WCF のサービス動作は、プログラムによってサービスを制御するために、サービス コントラクト (インターフェイス) を実装するクラスに適用される属性です。ServiceCredentials クラスにより、サービス資格情報の証明書を指定でき、さらにクライアント資格情報のさまざまな種類に対応するクライアント検証設定を指定できます。
メッセージ セキュリティのネゴシエーション モデル
メッセージ セキュリティ モードでは、クライアント側でサービス資格情報が帯域外で構成されるように転送のセキュリティを設定できます。たとえば、Windows 証明書ストアに格納されている証明書を使用する場合は、Microsoft 管理コンソール (MMC: Microsoft Management Console) スナップインなどのツールを使用する必要があります。
また、メッセージ セキュリティ モードでは、初期ネゴシエーションの一環としてサービス資格情報がクライアントと交換されるように転送のセキュリティを実行できます。ネゴシエーションを有効にするには、NegotiateServiceCredential プロパティを true に設定します。
参照
概念
エンドポイントの作成の概要
システム標準のバインディング
セキュリティの概要