認証とは、呼び出し元が実際に本人であることを判断し、ID 要求の信頼性を検証するプロセスです。 一般に、これはサーバーとクライアントの両方で実行でき、それぞれが他方を認証します。 ただし、ロールベースのセキュリティと同様に、クライアントを承認しているサーバー アプリケーションでも認証を実行することが特に重要です。 クライアントの認証は、意味のある承認ポリシーの前提条件です。 必要なすべてのロール チェックを実行できますが、確認しているクライアント ID が本物であることが不明な場合、アプリケーションは基本的に名誉システムに依存しています。
COM+ アプリケーションでは、認証を有効にして管理的に構成でき、その後はアプリケーションに透過的に機能します。 認証レベルは、コンポーネント サービス管理ツールまたは管理機能を使用して管理的に指定します。 認証の設定の詳細については、「サーバー アプリケーション の認証レベルの設定」および「ライブラリ アプリケーション の認証を有効にする」を参照してください。
認証の設定は、アプリケーションの種類がサーバー アプリケーションかライブラリ アプリケーションかによって異なります。
COM+ サーバー アプリケーションの認証の設定
COM+ サーバー アプリケーションの場合は、クライアントがアプリケーション内のコンポーネントを呼び出すときの認証の実行方法を決定する認証レベルを設定します。 認証なしからすべてのパケットおよびすべてのメソッド呼び出しパラメーターの暗号化まで、さまざまなセキュリティレベルを提供する複数の認証レベルから選択できます。 詳細については、「サーバー アプリケーションの認証レベルの設定」を参照してください。
ただし、セキュリティが向上するとパフォーマンス コストが発生します。ただし、アプリケーションを構成する際には考慮する必要があります。 COM+ は、クライアントとサーバーで指定された認証レベルの間でネゴシエートします。 このネゴシエーションの実行方法には、サーバー側からの認証を管理的に制御できるという利点があります。 詳細については、認証レベル のネゴシエーションを参照してください。
手記
COM+ アプリケーション内 CoInitializeSecurity を使用して、認証レベルをプログラムで指定しないでください。 COM+ は CoInitializeSecurity 呼び出します。これはプロセスごとに 1 回だけ呼び出すことができます。
基になる認証サービスは、COM と Microsoft Windows によって提供されます。 認証サービスでは、サード パーティがユーザーの証明書を提供し、ユーザーの ID の信頼性を証明します。 この認定資格は、認証機関と同じくらい信頼でき、運転免許証やパスポートとほとんど同じ方法で認証書類として機能します。これは発行者の権限に依存します。 認証サービスの詳細については、COM ドキュメント COM およびセキュリティ パッケージの を参照してください。
COM+ ライブラリ アプリケーションの認証の設定
COM+ ライブラリ アプリケーションの場合は、認証を有効または無効にして、アプリケーションがホスティング プロセスによって実行される認証の対象となるかどうかを判断します。 COM+ ライブラリ アプリケーションの認証は、主にホスティング プロセスによって制御されますが、認証に参加しないようにライブラリ アプリケーションを構成できます。 つまり、アプリケーションへの呼び出しを認証または認証解除することができ、後者の場合、クライアントの "認証" は常に成功します。 詳細については、「ライブラリ アプリケーションの認証を有効にする」を参照してください。
さらに、データベースまたはダウンストリーム アプリケーションでクライアントを認証する必要がある場合もあります。COM+ アプリケーションだけでクライアントを認証するだけでは不十分な場合があります。 その場合は、クライアントの ID がダウンストリームに伝達されるように、クライアントを偽装する必要があります。 偽装の詳細については、「クライアントの偽装と委任の」を参照してください。 データ層で認証を行うかどうかを決定する際の問題については、「多層アプリケーション セキュリティ 参照してください。
関連トピック
-
多層アプリケーション セキュリティ の
-
プログラム によるコンポーネントセキュリティ の
-
COM+ でのソフトウェア制限ポリシーの使用の