セキュリティ統合の概要
このセクションの前のトピックで、Microsoft AppFabric 1.1 for Windows Server セキュリティ モデルの主要部分を説明し、AppFabric でどのように Windows セキュリティ アカウントとグループを活用するかを調べました。AppFabric ではこうした Windows セキュリティ プリンシパルを IIS と .NET Framework のセキュリティ の概念にマップし、その概念はまたログイン名とデータベース ロールを使用して SQL Server のセキュリティ にマップされます。このトピックでは、アプリケーションの安全な環境の確保のため、AppFabric セキュリティ モデルでどのようにこうしたサポート テクノロジのすべてが統合されているかを簡単に説明します。
AppFabric の概念的役割
次の概念的役割を使用して、セキュリティ アーキテクチャの設計時にユーザーと適切なアクセス許可レベルを論理的に割り当てます。
アプリケーション サーバー ユーザー。 AppFabric で実行されるアプリケーションのアプリケーション プール ID。
アプリケーション サーバー オブザーバー。 実行中のアプリケーションのプロパティと情報を表示できるユーザー。
アプリケーション サーバー管理者。 実行中のアプリケーションおよびアプリケーションの実行を助けるシステム サービスを管理または制御できるユーザー。
Windows セキュリティ プリンシパル
AppFabric の概念的役割は Windows セキュリティ グループにマップされます。IIS_IUSRS、LOCALHOST\AS_Administrators、LOCALHOST\AS_Observers の各グループは IIS と AppFabric のローカル インストール時にローカル コンピューターにのみ作成されます。
IIS_IUSRS グループ。 IIS ではセットアップの処理中にこの既存の Windows セキュリティ グループを作成し、実行時に動的に設定します。このグループには、AppFabric の概念的役割 "アプリケーション サーバー ユーザー" のアプリケーション プール ID がすべて含まれます。データを保持し、追跡情報を生成する権限があります。アプリケーション プールに使用される ID は IIS_IUSRS グループのメンバーになります。
LOCALHOST\AS_Administrators グループ。 このローカル Windows セキュリティ グループは AppFabric セットアップで自動的に作成されます。そのユーザーは AppFabric の概念的役割 "アプリケーション サーバー管理者" にマップされます。AppFabric の管理作業を行う必要があるユーザーはこのグループに属する必要があります。
LOCALHOST\AS_Observers グループ。 このローカル Windows セキュリティ グループは AppFabric セットアップの処理で自動的に作成されます。この役割に割り当てられたユーザーには、概念的役割 "アプリケーション サーバー オブザーバー" について説明した特権が許可されます。
ドメイン環境の複数のコンピューター間で AppFabric を使用する場合、そのドメイン内にある複数の AppFabric サーバー コンピューターで使用する AppFabric の概念的役割ごとにドメイン グループを作成することをお勧めします。これらのグループに割り当てられたユーザーには、各概念的役割に関連付けられた特権がドメイン スコープ レベルで許可されます。こうしたドメインの Windows セキュリティ グループを作成した後、AppFabric のアクセスと機能の必要に応じてこれらのグループにドメイン ユーザー アカウントを追加してください。任意の名前を付けることができますが、"DOMAIN\MyAppFabricAdmins"、"DOMAIN\MyAppFabricObservers" グループなど、識別しやすい名前を付けると便利です。ローカル AppFabric サーバーで、これらのドメイン アカウントは LOCALHOST\AS_Administrators グループに置かれます。
AppFabric で Windows セキュリティを使用する方法の詳細については、「Windows セキュリティ」を参照してください。
IIS と .NET Framework のセキュリティ
アプリケーションの実行が混合トランスポート モードに構成されている場合、IIS セキュリティの一部が使用されます。ただしこのモードでは、アプリケーションのセキュリティ関連の動作は IIS セキュリティよりも .NET Framework と WCF のセキュリティに基礎を置いています。同じアプリケーションの実行が ASP.NET 互換モードに構成されている場合、IIS 認証が重点的に利用され、WCF セキュリティは無視されます。AppFabric セキュリティ モデルのこの部分は、アプリケーションをホストし SQL Server のバックエンド データにアクセスするアプリケーション ドメインまたはプロセスに割り当てられるクライアントと ID の認証に関係します。詳細については、「IIS と .NET Framework のセキュリティ」を参照してください。
SQL Server のログイン名とデータベース ロール
AppFabric の概念的役割は SQL Server のデータベース セキュリティ ロールにマップされ、そのデータベース ロールは次のように Windows セキュリティ グループにマップされます。
AS_Administrators。 ローカルの LOCALHOST\AS_Administrators グループ アカウントにマップされます。そのユーザーはもともと AppFabric の概念的グループ "アプリケーション サーバー管理者" からのユーザーです。AS_Administrators ログイン名は永続化ストアと監視ストアの管理に必要な SQL Server データベース ロールに割り当てられます。
AS_Observers。 ローカルの LOCALHOST\AS_Observers グループ アカウントにマップされます。そのユーザーはもともと AppFabric の概念的グループ "アプリケーション サーバー オブザーバー" からのユーザーです。AS_Observers ログイン名は、永続化ストアと監視ストアの監視 (管理ではない) に必要な SQL Server データベース ロールに割り当てられます。
IIS_IUSRS。 ローカルの BUILTIN\IIS_IUSRS グループ アカウントにマップされます。そのユーザーはもともと AppFabric の概念的グループ "アプリケーション サーバー ユーザー" からのユーザーです。IIS_IUSRS ログイン名は、このログイン アカウント下で実行され、実行時に永続化ストアと監視ストアにアクセスするアプリケーションに必要な SQL Server データベース ロールに割り当てられます。
AppFabric の概念的役割は、アクセス許可構成で対応するログイン名に似た SQL Server データベース ロールにマップされます。たとえば、AS_Administrators ログイン アカウントには AS_Observers ログイン アカウントより多くのアクセス許可があります。これらのログイン名に割り当てられる特定のデータベース ロールとアクセス許可の詳細については、「SQL Server のセキュリティ」の「SQL Server ログイン」を参照してください。
![]() |
---|
SQL Server 以外のデータベース ストレージの実装を提供するサード パーティは、セキュリティ モデルを AppFabric の概念的役割にマップさせる必要があります。 |
2012-03-05