メッセージ セキュリティにおけるアクティビティ トレース
ここでは、次の 3 つの段階で発生するセキュリティ処理のアクティビティ トレースについて説明します。
ネゴシエーション/SCT 交換。 トランスポート層 (バイナリ データ交換を使用した場合) またはメッセージ層 (SOAP メッセージ交換を使用した場合) で発生する可能性があります。
メッセージの暗号化と復号化、および署名の検証と認証。 トレースは、アンビエント アクティビティ (通常、"プロセス アクション") に表示されます。
承認と検証。 ローカルで、またはエンドポイント間の通信中に発生する可能性があります。
ネゴシエーション/SCT 交換
ネゴシエーション/SCT 交換段階では、"セキュリティで保護されたセッションの設定" および "セキュリティで保護されたセッションを閉じる" という 2 種類のアクティビティがクライアント側で作成されます。"セキュリティで保護されたセッションの設定" は RST/RSTR/SCT メッセージ交換のトレースを含み、"セキュリティで保護されたセッションを閉じる" は "キャンセル" メッセージのトレースを含みます。
サーバーでは、RST/RSTR/SCT の各要求/応答がそのアクティビティに表示されます。 サーバーとクライアントの両方に propagateActivity=true が設定されている場合、サーバーの各アクティビティは同じ ID を持ち、サービス トレース ビューアーでは "セキュリティで保護されたセッションの設定" にまとめて表示されます。
このアクティビティ トレース モデルは、ユーザー名/パスワード認証、証明書認証、および NTLM 認証に対して有効です。
ネゴシエーションと SCT 交換のアクティビティとトレースを次の表に示します。
| レイヤー | ネゴシエーション/SCT 交換の発生タイミング | Activities | トレース |
|---|---|---|---|
| セキュリティで保護されたトランスポート (HTTPS、SSL) | 最初のメッセージを受信したとき。 | トレースは、アンビエント アクティビティで出力されます。 | - 交換トレース - セキュリティ保護されたチャネルの確立 - 共有シークレットの取得 |
| セキュリティで保護されたメッセージ層 (WSHTTP) | 最初のメッセージを受信したとき。 | クライアント側 : - RST/RSTR/SCT の各要求/応答に対する最初のメッセージの "プロセス アクション" で発生した "セキュリティで保護されたセッションの設定"。 - "プロキシ アクティビティを閉じる" で発生した "交換のキャンセル" に対する "セキュリティで保護されたセッションを閉じる"。このアクティビティは、セキュリティで保護されたセッションが閉じられるタイミングによる、他のアンビエント アクティビティで発生する可能性があります。 サーバー側 : - サーバーでの RST/SCT/キャンセルの各要求/応答に対して 1 つの "プロセス アクション" アクティビティ。 propagateActivity=true の場合、RST/RSTR/SCT アクティビティは "セキュリティで保護されたセッションの設定" とマージされ、"キャンセル" はクライアントからの "閉じる" アクティビティとマージされます。"セキュリティで保護されたセッションの設定" には 2 つの段階があります。 1. 認証ネゴシエーション。 クライアントが既に適切な資格情報を持つ場合は、省略可能です。 この段階は、セキュリティで保護されたトランスポート、またはメッセージ交換を通じて行われます。 後者の場合、1 つまたは 2 つの RST/RSTR 交換が発生する可能性があります。 これらの交換では、トレースは、従来の設計どおり、新しい要求/応答アクティビティで出力されます。 2. セキュリティで保護されたセッションの確立 (SCT)。この段階では、1 つの RST/RSTR 交換が発生します。 前述のように、これには同じアンビエント アクティビティが含まれます。 |
- 交換トレース - セキュリティ保護されたチャネルの確立 - 共有シークレットの取得 |
Note
混在セキュリティ モードでは、ネゴシエーション認証はバイナリ交換で発生しますが、SCT はメッセージ交換で発生します。 純粋なトランスポート モードでは、ネゴシエーションは追加のアクティビティを持たないトランスポートでのみ発生します。
メッセージの暗号化と復号化
メッセージの暗号化と復号化および署名認証のアクティビティとトレースを次の表に示します。
| セキュリティで保護されたトランスポート層 (HTTPS、SSL) とセキュリティで保護されたメッセージ層 (WSHTTP) | |
|---|---|
| メッセージの暗号化/復号化、および署名認証の発生タイミング | メッセージを受信したとき。 |
| アクティビティ | トレースは、クライアントとサーバーの ProcessAction アクティビティで出力されます。 |
| トレース | - sendSecurityHeader (送信側): - メッセージに署名 - 要求データの暗号化 - receiveSecurityHeader (受信側): - 署名の検証 - 応答データの復号化 - 認証 |
Note
純粋なトランスポート モードでは、メッセージの暗号化/復号化は追加のアクティビティを持たないトランスポートでのみ発生します。
承認と検証
承認のアクティビティとトレースを次の表に示します。
| 承認 | 承認の発生タイミング | Activities | トレース |
|---|---|---|---|
| ローカル (既定) | サーバーでメッセージが複号化された後 | トレースは、サーバーの ProcessAction アクティビティで出力されます。 | ユーザーの承認。 |
| Remote | サーバーでメッセージが複号化された後 | トレースは、ProcessAction アクティビティによって呼び出された新しいアクティビティで出力されます。 | ユーザーの承認。 |