[エンドポイントの構成] ダイアログ ボックス:[認証] タブ

[エンドポイントの構成] ダイアログ ボックスの [認証] タブでは、特定のエンドポイントのセキュリティ設定を表示します。このダイアログ ボックスのすべてのフィールドは読み取り専用であり、変更できません。[エンドポイントの構成] ダイアログ ボックスはさまざまな方法で表示できます。

  • [サービスの構成] ダイアログ ボックスの [エンドポイント] タブで、特定のエンドポイントを選択して [編集] をクリックします。

  • [エンドポイント] リスト ([機能ビュー] 内) で、特定のエンドポイントを選択してショートカット メニューまたは [操作] ウィンドウで [構成] をクリックします。[エンドポイント] リストを表示するには、次のいずれかの手順を実行します。

    • サーバー、サイト、またはアプリケーション スコープで、[機能ビュー] から [エンドポイント] をダブルクリックすると、[エンドポイント] ページに [エンドポイント] リストが表示されます。

    • サーバー、サイト、またはアプリケーション スコープで、[機能ビュー] から [サービス] をダブルクリックし、サービスを右クリックして [エンドポイントの表示] をクリックします。

Windows Communication Foundation (WCF) の一般的なセキュリティ シナリオの詳細については、「一般的なセキュリティ シナリオ」 (http://go.microsoft.com/fwlink/?LinkId=166483) を参照してください。

ダイアログ ボックスのオプション

フィールド

[説明]

セキュリティ モード

セキュリティ モードの設定により、エンドポイントが要求を受信する方法または応答を送信する方法が決まります。これは、構成ファイルの mode 属性の値を表しています。表示される値は、このエンドポイントに使用される特定のバインドによって決まります。指定できる値は次のとおりです。

  • [なし] - メッセージ送信の間にセキュリティは使用されません。

  • [トランスポート] - セキュリティはトランスポート レベルで実装されます。HTTPS などのトランスポート レベルのプロトコルを使用して、転送のセキュリティを実現します。トランスポート モードの利点は、非常に効果的で、広く利用されており、多くのプラットフォームで使用でき、コンピューターの処理に関してはあまり複雑ではないことです。ただし、ポイント ツー ポイントのメッセージしか保護できないという欠点があります。

  • [メッセージ] - セキュリティは個別のメッセージ レベルで実装されます。WS-Security などのセキュリティ仕様を使用してセキュリティを実装します。メッセージ セキュリティは SOAP メッセージに直接適用され、アプリケーション データと共に SOAP エンベロープ内に組み込まれます。この方式の利点は、トランスポート プロトコルに依存せず、より包括的であり、(ポイント ツー ポイントではなく) エンド ツー エンドのセキュリティが保証されることです。ただし欠点は、SOAP メッセージの XML テキスト構成のために、トランスポート セキュリティ モードより処理速度が何倍も低下することです。

トランスポート資格情報の種類

認証を実行するときに使用するクライアント資格情報の種類を指定します。これは、構成ファイルの transport 属性の値を表しています。指定できる値は次のとおりです。

  • [なし] - クライアント認証はトランスポート レベルでは使用されません。

  • [Windows] - Kerberos ネゴシエーションを使用するクライアントの Windows 統合認証です。クライアント資格情報に対応するドメインまたはローカル ユーザー アカウントを作成する必要があります。さらに、クライアントの userPrincipalName 要素を、この受信ハンドラーを実行するユーザー アカウント名で構成する必要があります。

  • [証明書] - クライアント証明書を使用するクライアント認証です。クライアント証明書を認証するには、クライアント証明書への CA (証明機関) 証明書チェーンを、このコンピューターの信頼されたルート証明機関証明書ストアにインストールする必要があります。

メッセージ資格情報の種類

認証を実行するときに使用するクライアント資格情報の種類を指定します。クライアント資格情報は、SOAP ヘッダー要素で渡されます。これは、構成ファイルの message 属性の値を表しています。指定できる値は次のとおりです。

  • [なし] - 匿名クライアントとの対話をサービスに許可します。

  • [Windows] - Windows 資格情報の認証済みコンテキストの下での SOAP 交換を許可します。クライアント資格情報に対応するドメインまたはローカル ユーザー アカウントを作成する必要があります。さらに、クライアントの userPrincipalName 要素を、この受信ハンドラーを実行するユーザー アカウント名で構成する必要があります。

  • [ユーザー名] - クライアントは UserName 資格情報で認証されます。クライアント資格情報に対応するドメインまたはローカル ユーザー アカウントを作成する必要があります。

  • [証明書] - クライアントは指定したクライアント証明書を使用して認証されます。クライアント証明書を認証するには、クライアント証明書への CA 証明書チェーンを、このコンピューターの信頼されたルート証明機関証明書ストアにインストールする必要があります。

サービス証明書

指定されたバインドが、メッセージまたはトランスポートのセキュリティによるクライアント認証をサポートしており、かつこのエンドポイントが属するサービスの構成ファイルに serverCertificate 要素 (serverCredentials ビヘイビアー) がある場合は、[構成済み] と表示されます。いずれかの条件が満たされていない場合は、[未構成] と表示されます。このフィールドは、読み取り専用で変更できません。

構成の変更

次の構成要素と属性が、このダイアログ ボックスに表示されるフィールドに対応しています。security mode, transport, message、および serviceCertificate

<system.serviceModel>
  <bindings>
    <XXXXXXBinding>
      <binding>
        <security mode="">
          <transport/> 
          <message/>
        </security>
      </binding>
    </XXXXXXBinding>
  </bindings>
  <behaviors>
    <serviceBehaviors>
      <behavior name="b1">
        <serviceCredentials>
          <serviceCertificate findValue="Contoso.com"
                              x509FindType="FindBySubjectName" />
        </serviceCredentials>
      </behavior>
    </serviceBehaviors>
  </behaviors>
</system.serviceModel>

  2012-03-05