セキュリティ統合の概要

このセクションの前のトピックで、Windows Server AppFabric セキュリティ モデルの主要部分を説明し、AppFabric でどのように Windows セキュリティ アカウントとグループを活用するかを調べました。AppFabric ではこうした Windows セキュリティ プリンシパルを IIS と .NET Framework のセキュリティの概念に対応付け、さらにはログイン名とデータベース ロールを使用して SQL Server のセキュリティに対応付けています。このトピックでは、アプリケーションの安全な環境の確保のため、AppFabric セキュリティ モデルでどのようにこうしたサポート テクノロジのすべてが統合されているかを簡単に説明します。

AppFabric の概念的役割

次の概念的役割を使用して、セキュリティ アーキテクチャの設計時にユーザーと適切なアクセス許可レベルを論理的に割り当てます。

  • アプリケーション サーバー ユーザー。 AppFabric で実行されるアプリケーションのアプリケーション プール ID。

  • アプリケーション サーバー オブザーバー。 実行中のアプリケーションのプロパティと情報を表示できるユーザー。

  • アプリケーション サーバー管理者。 実行中のアプリケーションおよびアプリケーションの実行を助けるシステム サービスを管理または制御できるユーザー。

Windows セキュリティ プリンシパル

AppFabric の概念的役割は Windows セキュリティ グループにマップされます。IIS_IUSRS、LOCALHOST\AS_Administrators、LOCALHOST\AS_Observers の各グループは IIS と AppFabric のローカル インストール時にローカル コンピューターにのみ作成されます。

  • IIS_IUSRS グループ。 IIS ではセットアップの処理中にこの既存の Windows セキュリティ グループを作成し、実行時に動的に設定します。このグループには、AppFabric の概念的役割 "アプリケーション サーバー ユーザー" のアプリケーション プール ID がすべて含まれます。データを保持し、追跡情報を生成する権限があります。アプリケーション プールに使用される ID は IIS_IUSRS グループのメンバーになります。

  • LOCALHOST\AS_Administrators グループ。 このローカル Windows セキュリティ グループは AppFabric セットアップで自動的に作成されます。そのユーザーは AppFabric の概念的役割 "アプリケーション サーバー管理者" にマップされます。AppFabric の管理作業を行う必要があるユーザーはこのグループに属する必要があります。

  • LOCALHOST\AS_Observers グループ。 このローカル Windows セキュリティ グループは AppFabric セットアップの処理で自動的に作成されます。この役割に割り当てられたユーザーには、概念的役割 "アプリケーション サーバー オブザーバー" について説明した特権が許可されます。

ドメイン環境の複数のコンピューター間で AppFabric を使用する場合、そのドメイン内にある複数の AppFabric サーバー コンピューターで使用する AppFabric の概念的役割ごとにドメイン グループを作成することをお勧めします。これらのグループに割り当てられたユーザーには、各概念的役割に関連付けられた特権がドメイン スコープ レベルで許可されます。こうしたドメインの Windows セキュリティ グループを作成した後、AppFabric のアクセスと機能の必要に応じてこれらのグループにドメイン ユーザー アカウントを追加してください。任意の名前を付けることができますが、"DOMAIN\MyAppFabricAdmins"、"DOMAIN\MyAppFabricObservers" グループなど、識別しやすい名前を付けると便利です。ローカル AppFabric サーバーで、これらのドメイン アカウントは LOCALHOST\AS_Administrators グループに置かれます。

AppFabric で Windows セキュリティを使用する方法の詳細については、「Windows セキュリティ」を参照してください。

IIS と .NET Framework のセキュリティ

アプリケーションの実行が混合トランスポート モードに構成されている場合、IIS セキュリティの一部が使用されます。ただしこのモードでは、アプリケーションのセキュリティ関連の動作は IIS セキュリティよりも .NET Framework と WCF のセキュリティに基礎を置いています。同じアプリケーションの実行が ASP.NET 互換モードに構成されている場合、IIS 認証が重点的に利用され、WCF セキュリティは無視されます。AppFabric セキュリティ モデルのこの部分は、アプリケーションをホストし SQL Server のバックエンド データにアクセスするアプリケーション ドメインまたはプロセスに割り当てられるクライアントと ID の認証に関係します。詳細については、「IIS と .NET Framework のセキュリティ」を参照してください。

SQL Server のログイン名とデータベース ロール

AppFabric の概念的役割は SQL Server のデータベース セキュリティ ロールにマップされ、そのデータベース ロールは次のように Windows セキュリティ グループにマップされます。

  • AS_Administrators。 ローカルの LOCALHOST\AS_Administrators グループ アカウントにマップされます。そのユーザーはもともと AppFabric の概念的グループ "アプリケーション サーバー管理者" からのユーザーです。AS_Administrators ログイン名は永続化ストアと監視ストアの管理に必要な SQL Server データベース ロールに割り当てられます。

  • AS_Observers。 ローカルの LOCALHOST\AS_Observers グループ アカウントにマップされます。そのユーザーはもともと AppFabric の概念的グループ "アプリケーション サーバー オブザーバー" からのユーザーです。AS_Observers ログイン名は、永続化ストアと監視ストアの監視 (管理ではない) に必要な SQL Server データベース ロールに割り当てられます。

  • IIS_IUSRS。 ローカルの BUILTIN\IIS_IUSRS グループ アカウントにマップされます。そのユーザーはもともと AppFabric の概念的グループ "アプリケーション サーバー ユーザー" からのユーザーです。IIS_IUSRS ログイン名は、このログイン アカウント下で実行され、実行時に永続化ストアと監視ストアにアクセスするアプリケーションに必要な SQL Server データベース ロールに割り当てられます。

AppFabric の概念的役割は、アクセス許可構成で対応するログイン名に似た SQL Server データベース ロールにマップされます。たとえば、AS_Administrators ログイン アカウントには AS_Observers ログイン アカウントより多くのアクセス許可があります。これらのログイン名に割り当てられる特定のデータベース ロールとアクセス許可の詳細については、「SQL Server のセキュリティ」の「SQL Server ログイン」を参照してください。

securityセキュリティ 注意
SQL Server 以外のデータベース ストレージの実装を提供するサード パーティは、セキュリティ モデルを AppFabric の概念的役割にマップさせる必要があります。

  2011-12-05