セキュリティの認可 <authorization>

  • [アーティクル]

概要

<authorization> 要素を使うと、サイトまたはアプリケーションにアクセスできるユーザー アカウントを構成できます。 認可を認証と組み合わせて使い、サーバー上のコンテンツへのアクセスをセキュリティで保護します。 認証はユーザーの ID を確認し、認可はユーザーがアクセスできるリソースとアクセスできないリソースを決定します。

IIS では、許可規則と拒否規則の 2 種類の認可規則が定義されています。

  • 許可規則を使うと、サイト、アプリケーション、またはサーバー上のすべてのサイトにアクセスできるユーザー アカウントまたはユーザー グループを定義できます。
  • 拒否規則を使うと、サイト、アプリケーション、またはサーバー上のすべてのサイトにアクセスできないユーザー アカウントまたはユーザー グループを定義できます。

互換性

バージョン メモ
IIS 10.0 <authorization> 要素は、IIS 10.0 では変更されませんでした。
IIS 8.5 <authorization> 要素は、IIS 8.5 では変更されませんでした。
IIS 8.0 <authorization> 要素は IIS 8.0 では変更されませんでした。
IIS 7.5 <authorization> 要素は、IIS 7.5 では変更されませんでした。
IIS 7.0 <authorization> 要素が IIS 7.0 で導入されました。
IIS 6.0 <authorization> コレクションは、IIS 6.0 AzEnableAzStoreNameAzScopeNameAzImpersonationLevel の各メタベース プロパティを置き換えます。

段取り

Web サーバー上のサイトとアプリケーションの認可をサポートして構成するには、URL 認可モジュールをインストールする必要があります。 そのためには、次のステップに従います。

Windows Server 2012 または Windows Server 2012 R2

  1. タスク バーで [サーバー マネージャー]をクリックします。 - [サーバー マネージャー] で、[管理] メニューをクリックし、[役割と機能の追加] をクリックします。 - 役割と機能の追加ウィザードで、[次へ] をクリックします。 インストールの種類を選択し、[次へ] をクリックします。 対象サーバーを選択し、[次へ] を選択します。 - [サーバーの役割] ページで、[Web サーバー (IIS)][Web サーバー] の順に展開し、[セキュリティ] を展開して、[URL 認証] を選択します。 次へ をクリックします。
    [U R L 承認] が強調表示された [Web サーバーとセキュリティ] ウィンドウの画像。 . - [機能の選択] ページで、[次へ] を選択します。 - [インストール オプションの確認] ページで、[インストール] をクリックします。 - [結果] ページで、[閉じる] をクリックします。

Windows 8 または Windows 8.1

  1. [スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] を選択します。 - [コントロール パネル][プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。 - [インターネット インフォメーション サービス]を展開し、[World Wide Web サービス] を展開し、[セキュリティ] を展開して、[URL 認証] を選択します。
    [World Wide Web Services and Security]\(World Wide Web サービスとセキュリティ\) ウィンドウが展開され、[U R L Authorization]\(承認\) が選択されている画像。- [OK] を選択します。
  2. [閉じる] をクリックします。

Windows Server 2008 または Windows Server 2008 R2

  1. タスク バーで [スタート] を選択し、[管理ツール] をポイントして、[サーバー マネージャー] を選択します。 - [サーバー マネージャー] 階層ウィンドウで [ロール] を展開し、[Web サーバー (IIS)] を選択します。 - [Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] を選択します。 - 役割サービスの追加ウィザード[役割サービスの選択] ページで、[URL 認証] を選択し、[次へ] を選択します。
    [ロール サービスの追加] ウィザードの [役割サービスの選択] ページで展開され、[U R L 承認] が選択されている [セキュリティ] ウィンドウのスクリーンショット。- [インストール オプションの確認] ページで、[インストール] を選択します。 - [結果] ページで、[閉じる] をクリックします。

Windows Vista または Windows 7

  1. タスク バーで、[スタート][コントロール パネル] の順に選択します。 - [コントロール パネル][プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。 - [インターネット インフォメーション サービス] を展開し、[URL 認証] を選択し、[OK] を選択します。
    [インターネット インフォメーション サービス ペインが展開され、[U R L Authorization]\(承認\) が選択されている画像。

操作方法

認可規則を追加する方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、サーバー名を展開して [サイト] を展開し、認可を構成するサイトまたはアプリケーションに移動します。

  3. [ホーム] ウィンドウで、[認可規則] をダブルクリックします。
    承認規則が強調表示されている [ホーム] ウィンドウの画像。

  4. 新しい認可規則を追加するには、[操作] ウィンドウで [許可規則の追加][拒否規則の追加] の順に選択します

  5. サイトまたはアプリケーションに必要な認可設定を適用し、[OK] を選択します。 次に例を示します。

    • 例 1: 特定の HTTP 動詞についてのすべてのユーザーへの許可規則の追加:
      [このルールを特定の動詞に適用する] ボックスに入力された動詞を示す[特定の H T T P 動詞のすべてのユーザーに許可ルールを追加する] ダイアログ ボックスの画像。

    • 例 2: すべての HTTP 動詞に対する特定のユーザーの拒否規則の追加:
      すべての H T T P 動詞の特定のユーザーに対する拒否承認規則の追加のダイアログ ボックスの画像。

      Note

      既存の規則を編集または削除するには、[認可規則] ウィンドウで規則を選択し、[編集] または [削除][操作] ウィンドウで選択します。 [編集] をクリックすると、規則を編集できるダイアログ ボックスが表示されます。このダイアログ ボックスは、認可の [許可規則の追加] ダイアログ ボックスと [拒否規則の追加] ダイアログ ボックスに似ています。

構成

<authorization> 要素は、ApplicationHost.config ファイルのサーバー レベルで構成することも、適切な Web.config ファイルのサイトまたは適切なレベルで構成することもできます。

サーバー レベルで認可規則を構成することで、サーバー全体の既定の認可規則を設定できます。 これらの規則を削除、クリア、またはオーバーライドするには、サイトまたはアプリケーションに対してより具体的な規則を構成します。

属性

属性 説明
bypassLoginPages 省略可能な Boolean 属性です。

フォーム認証のログイン ページとして指定されたページの認可チェックをスキップするかどうかを指定します。 これにより、認証されていないユーザーは、ログイン ページにアクセスしてログオンできます。

既定値は true です。

子要素

要素 説明
add 省略可能な要素です。

認可規則のコレクションに認可規則を追加します。
remove 省略可能な要素です。

認可規則のコレクションから認可規則への参照を削除します。
clear 省略可能な要素です。

認可規則のコレクションから認可規則へのすべての参照を削除します。

構成サンプル

次の構成例は、Web.config ファイルに含まれている場合、既定の IIS 認可設定を削除します。これにより、すべてのユーザーが Web サイトまたはアプリケーション コンテンツにアクセスできるようになります。 次に、管理者特権を持つユーザーのみがコンテンツにアクセスできるようにする認可規則を構成します。

<configuration>
   <system.webServer>
      <security>
         <authorization>
            <remove users="*" roles="" verbs="" />
            <add accessType="Allow" users="" roles="Administrators" />
         </authorization>
      </security>
   </system.webServer>
</configuration>

サンプル コード

次の例では、管理者グループのユーザーが Contoso という名前の Web サイトにアクセスできるようにする認可規則の許可を追加します。

AppCmd.exe

appcmd.exe set config "Contoso" -section:system.webServer/security/authorization /+"[accessType='Allow',roles='administrators']"

Note

AppCmd.exe を使用してこれらの設定を構成するときに、必要に応じて commit パラメーターを apphost に設定できます。 これにより、Web.config ファイルでなく、ApplicationHost.config ファイル内の適切な場所のセクションに構成設定がコミットされます。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Contoso");
         ConfigurationSection authorizationSection = config.GetSection("system.webServer/security/authorization");
         ConfigurationElementCollection authorizationCollection = authorizationSection.GetCollection();

         ConfigurationElement addElement = authorizationCollection.CreateElement("add");
         addElement["accessType"] = @"Allow";
         addElement["roles"] = @"administrators";
         authorizationCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Contoso")
      Dim authorizationSection As ConfigurationSection = config.GetSection("system.webServer/security/authorization")
      Dim authorizationCollection As ConfigurationElementCollection = authorizationSection.GetCollection
      Dim addElement As ConfigurationElement = authorizationCollection.CreateElement("add")
      addElement("accessType") = "Allow"
      addElement("roles") = "administrators"
      authorizationCollection.Add(addElement)
      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Contoso";
var authorizationSection = adminManager.GetAdminSection("system.webServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Contoso");
var authorizationCollection = authorizationSection.Collection;

var addElement = authorizationCollection.CreateNewElement("add");
addElement.Properties.Item("accessType").Value = "Allow";
addElement.Properties.Item("roles").Value = "administrators";
authorizationCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Contoso"
Set authorizationSection = adminManager.GetAdminSection("system.webServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Contoso")
Set authorizationCollection = authorizationSection.Collection

Set addElement = authorizationCollection.CreateNewElement("add")
addElement.Properties.Item("accessType").Value = "Allow"
addElement.Properties.Item("roles").Value = "administrators"
authorizationCollection.AddElement(addElement)

adminManager.CommitChanges()