このトピックでは、次の 3 つのフェーズで発生するセキュリティ処理のアクティビティ トレースについて説明します。
ネゴシエーション/SCT 交換。 これは、トランスポート層 (バイナリ データ交換) またはメッセージ層 (SOAP メッセージ交換を通じて) で発生する可能性があります。
署名の検証と認証を使用したメッセージの暗号化/暗号化解除。 トレースはアンビエント アクティビティ (通常は "プロセス アクション" ) に表示されます。
承認と検証。 これは、ローカルまたはエンドポイント間の通信時に発生する可能性があります。
ネゴシエーション/SCT 交換
ネゴシエーション/SCT 交換フェーズでは、クライアントに "セキュリティで保護されたセッションのセットアップ" と "セキュリティで保護されたセッションの終了" という 2 つのアクティビティの種類が作成されます。"セキュリティで保護されたセッションのセットアップ" には RST/RSTR/SCT メッセージ交換のトレースが含まれますが、"セキュリティで保護されたセッションを閉じる" にはキャンセル メッセージのトレースが含まれます。
サーバーでは、RST/RSTR/SCT の各要求/応答が独自のアクティビティに表示されます。 サーバーとクライアントの両方で propagateActivity=true 場合、サーバー上のアクティビティは同じ ID を持ち、サービス トレース ビューアーで表示すると "セキュリティで保護されたセッションのセットアップ" にまとめて表示されます。
このアクティビティ トレース モデルは、ユーザー名/パスワード認証、証明書認証、NTLM 認証に対して有効です。
次の表に、ネゴシエーションと SCT 交換のアクティビティとトレースを示します。
| レイヤー | ネゴシエーション/SCT 交換が行われる時刻 | アクティビティ | 痕跡 |
|---|---|---|---|
| セキュリティで保護されたトランスポート (HTTPS、SSL) | 最初に受信したメッセージ。 | トレースはアンビエント アクティビティで出力されます。 | - Exchange トレース - セキュリティで保護されたチャネルが確立されました - 取得したシークレットを共有します。 |
| Secure Message Layer (WSHTTP) | 最初に受信したメッセージ。 | クライアントで次の手順を実行します。 - RST/RSTR/SCT の要求/応答ごとに、最初のメッセージの "プロセス アクション" の "セキュリティで保護されたセッションのセットアップ" - "プロキシを閉じるアクティビティ" から、CANCEL 交換の "セキュリティで保護されたセッションを閉じる"このアクティビティは、セキュリティで保護されたセッションが閉じられるタイミングに応じて、他のアンビエント アクティビティから発生する可能性があります。 サーバーで次の手順を実行します。 - サーバー上の RST/SCT/Cancel の要求/応答ごとに 1 つの "プロセス アクション" アクティビティ。 propagateActivity
=
true場合、RST/RSTR/SCT アクティビティは "セキュリティ セッションのセットアップ" とマージされ、キャンセルはクライアントからの "閉じる" アクティビティとマージされます。"セキュリティで保護されたセッションのセットアップ" には、次の 2 つのステージがあります。 1. 認証ネゴシエーション。 これは、クライアントが既に適切な資格情報を持っている場合は省略可能です。 このフェーズは、セキュリティで保護されたトランスポートまたはメッセージ交換を通じて行うことができます。 後者の場合、1 つまたは 2 つの RST/RSTR 交換が発生する可能性があります。 これらの交換の場合、トレースは、以前に設計された新しい要求/応答アクティビティで出力されます。 2. ここで 1 つの RST/RSTR 交換が行われるセキュア セッション確立 (SCT)。 これは、前に説明したのと同じアンビエント アクティビティを持っています。 |
- Exchange トレース - セキュリティで保護されたチャネルが確立されました - 取得したシークレットを共有します。 |
注
混合セキュリティ モードでは、ネゴシエーション認証はバイナリ交換で行われますが、SCT はメッセージ交換で発生します。 純粋トランスポート モードでは、ネゴシエーションは追加のアクティビティのないトランスポートでのみ行われます。
メッセージの暗号化と復号化
次の表に、メッセージの暗号化/暗号化解除のアクティビティとトレースと、署名認証を示します。
| セキュリティで保護されたトランスポート層 (HTTPS、SSL) とセキュリティで保護されたメッセージ層 (WSHTTP) | |
|---|---|
| メッセージの暗号化/暗号化解除と署名の認証が行われる時刻 | 受信したメッセージ |
| 活動 | トレースは、クライアントとサーバーの ProcessAction アクティビティで出力されます。 |
| トレース | - sendSecurityHeader (sender): - メッセージに署名する - 要求データを暗号化する - receiveSecurityHeader (受信側): - 署名を確認する - 応答データの暗号化を解除する -認証 |
注
純粋トランスポート モードでは、メッセージの暗号化と暗号化解除は、追加のアクティビティのないトランスポートでのみ行われます。
承認と検証
次の表に、承認のアクティビティとトレースを示します。
| 認証 | 承認が行われる時刻 | アクティビティ | 痕跡 |
|---|---|---|---|
| ローカル (既定) | サーバーでメッセージが復号化された後 | トレースは、サーバーの ProcessAction アクティビティで生成されます。 | 承認されたユーザー。 |
| リモート | サーバーでメッセージが復号化された後 | トレースは、ProcessAction アクティビティによって呼び出された新しいアクティビティで生成されます。 | 承認されたユーザー。 |