ロール ベースのセキュリティ管理

ロール ベースのセキュリティは、COM+ によって提供される自動サービスであり、COM+ アプリケーションのアクセス制御ポリシーを管理者として構築して適用できます。 柔軟で拡張可能なセキュリティ構成モデルが備わったロール ベースのセキュリティでは、コンポーネント内ですべてのセキュリティを適用するよりも大きなメリットがもたらされます。以下のメリットがあります。

• コンポーネント サービス管理ツールまたは管理機能を使って、セキュリティを管理者として構成できます。
• メソッド レベルでのロール保護によって十分なアクセス制御が実現する場合は、セキュリティ関連のロジックをコンポーネントに記述する必要がありません。
• インターフェイスまたはコンポーネントの設計においてセキュリティを考慮に入れる必要がありません。 代わりに、メソッド単位でセキュリティを設定できます。
• 適用するセキュリティ ポリシーの構造に重点を置き、ロールを通じて、アプリケーションをデプロイする管理者にそのポリシーを明確に表明することができます。
• アプリケーションの進化するセキュリティ要件に適応できるようセキュリティ ポリシーを簡単に変更できます。
• 必要に応じて、サポート プラットフォームとしてロール ベースのセキュリティを使用し、より細かいセキュリティ ポリシーをプログラムによって構築できます。
• ロール ベースのセキュリティを利用して詳細な監査を実施できます。アップストリーム呼び出しのチェーン全体に対して呼び出し元のセキュリティ情報を取得できるためです。

Note

システム アプリケーションの管理者ロールのユーザーは、ローカル管理者グループのメンバーでなければなりません。 さらに、Windows Server 2003 の時点では、COM+ システム アプリケーションの認証機能には、EOAC_DISABLE_AAA 値が含まれています。 この値は、アクティブ化アクティブ化 (AAA) のアクティブ化を無効にする値で、システム アプリケーションの起動時に CoInitializeSecurity 呼び出しで使用されます。 認証機能を EOAC_DISABLE_AAA に設定すると、特権アカウント (LocalSystem など) で実行されるアプリケーションは、その ID が信頼されていないコンポーネントの起動に使用されるのを防ぐことができます。

 

ロール ベースのセキュリティのしくみと、アプリケーションのセキュリティ ポリシーを構築するときに考慮すべき問題については、このセクションの次のトピックをご覧ください。

• クライアント認証でのロールの使用
• ロールの効果的な設計
• セキュリティ境界
• セキュリティ呼び出しコンテキスト情報
• セキュリティ コンテキスト プロパティ

アプリケーションのロール ベースのセキュリティを構成する手順の詳しい説明については、「ロール ベースのセキュリティの構成」をご覧ください。

関連トピック

クライアント認証

クライアントの偽装と委任

ライブラリ アプリケーションのセキュリティ

多層アプリケーションのセキュリティ

プログラムによるコンポーネント セキュリティ

COM+ でのソフトウェア制限ポリシーの使用