Share via

セキュリティの認可 <authorization>

  • [アーティクル]

概要

<authorization> 要素を使用すると、サイトまたはアプリケーションにアクセスできるユーザー アカウントを構成できます。 認可を認証と組み合わせて使用して、サーバー上のコンテンツへのアクセスをセキュリティで保護します。 認証ではユーザーの ID が確認されますが、認可によってユーザーがアクセスできるリソースとアクセスできないリソースが決まります。

IIS では、許可規則と拒否規則の 2 種類の認可規則が定義されています。

  • 許可規則を使用すると、サイト、アプリケーション、またはサーバー上のすべてのサイトにアクセスできるユーザー アカウントまたはユーザー グループを定義できます。
  • 拒否規則を使用すると、サイト、アプリケーション、またはサーバー上のすべてのサイトにアクセスできないユーザー アカウントまたはユーザー グループを定義できます。

互換性

バージョン メモ
IIS 10.0 <authorization> 要素は、IIS 10.0 では変更されませんでした。
IIS 8.5 <authorization> 要素は、IIS 8.5 では変更されませんでした。
IIS 8.0 <authorization> 要素は IIS 8.0 では変更されませんでした。
IIS 7.5 <authorization> 要素は、IIS 7.5 では変更されませんでした。
IIS 7.0 <authorization> 要素が IIS 7.0 で導入されました。
IIS 6.0 <authorization> コレクションは、IIS 6.0 AzEnableAzStoreNameAzScopeNameAzImpersonationLevel の各メタベース プロパティを置き換えます。

段取り

Web サーバー上のサイトとアプリケーションの認可をサポートして構成するには、URL 認可モジュールをインストールする必要があります。 そのためには、次のステップに従います。

Windows Server 2012 または Windows Server 2012 R2

  1. タスク バーで [サーバー マネージャー]をクリックします。 - [サーバー マネージャー] で、[管理] メニューを選択し、[役割と機能の追加] を選択します。 - 役割と機能の追加ウィザードで、[次へ] を選択します。 [インストールの種類] を選択し、[次へ] を選択します。 対象サーバーを選択し、[次へ] を選択します。 - [サーバーの役割] ページで、[Web サーバー (IIS)][Web サーバー] の順に展開し、[セキュリティ] を展開して、[URL 認証] を選択します。 次へ をクリックします。
    Image of Web Server and Security pane expanded with U R L Authorization highlighted.。 - [機能の選択] ページで、[次へ] を選択します。 - [インストール オプションの確認] ページで、[インストール] を選択します。 - [結果] ページで、[閉じる] を選択します。

Windows 8 または Windows 8.1

  1. [スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] を選択します。 - [コントロール パネル][プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。 - [インターネット インフォメーション サービス]を展開し、[World Wide Web サービス] を展開し、[セキュリティ] を展開して、[URL 認証] を選択します。
    Image of World Wide Web Services and Security pane expanded and U R L Authorization selected.- [OK] を選択します。
  2. 閉じるをクリックします。

Windows Server 2008 または Windows Server 2008 R2

  1. タスク バーで [スタート] を選択し、[管理ツール] をポイントして、[サーバー マネージャー] を選択します。 - [サーバー マネージャー] 階層ウィンドウで [ロール] を展開し、[Web サーバー (IIS)] を選択します。 - [Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] を選択します。 - 役割サービスの追加ウィザード[役割サービスの選択] ページで、[URL 認証] を選択し、[次へ] を選択します。
    Screenshot of Security pane expanded in Select Role Services page of the Add Role Services Wizard with U R L Authorization selected.- [インストール オプションの確認] ページで、[インストール] を選択します。 - [結果] ページで、[閉じる] を選択します。

Windows Vista または Windows 7

  1. タスク バーで、[スタート][コントロール パネル] の順に選択します。 - [コントロール パネル][プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。 - [インターネット インフォメーション サービス] を展開し、[URL 認証] を選択し、[OK] を選択します。
    Image of Internet Information Services pane expanded and U R L Authorization selected.

操作方法

認可規則を追加する方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] を選択し、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順に選択します。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] を選択します。
      • [管理ツール] を選択し、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンを選択し、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順に選択します。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順に選択します。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、サーバー名を展開して [サイト] を展開し、認可を構成するサイトまたはアプリケーションに移動します。

  3. [ホーム] ウィンドウで、[認可規則] をダブルクリックします。
    Image of Home pane with Authorization Rules highlighted.

  4. 新しい認可規則を追加するには、[操作] ウィンドウで [許可規則の追加][拒否規則の追加] の順に選択します

  5. サイトまたはアプリケーションに必要な認可設定を適用し、[OK] を選択します。 次に例を示します。

    • 例 1: 特定の HTTP 動詞についてのすべてのユーザーへの許可規則の追加:
      Image of Adding an Allow rule for all users for specific H T T P verbs dialog box showing verbs typed in the box for Apply this rule to specific verbs.

    • 例 2: すべての HTTP 動詞に対する特定のユーザーの拒否規則の追加:
      Image of dialog box for Add Deny Authorization Rule for a specific user for all H T T P verbs.

      Note

      既存の規則を編集または削除するには、[認可規則] ウィンドウで規則を選択し、[編集] または [削除][操作] ウィンドウで選択します。 [編集] をクリックすると、規則を編集できるダイアログ ボックスが表示されます。このダイアログ ボックスは、認可の [許可規則の追加] ダイアログ ボックスと [拒否規則の追加] ダイアログ ボックスに似ています。

構成

<authorization> 要素は、ApplicationHost.config ファイルのサーバー レベルで構成することも、適切な Web.config ファイルのサイトまたは適切なレベルで構成することもできます。

サーバー レベルで認可規則を構成することで、サーバー全体の既定の認可規則を設定できます。 これらの規則を削除、クリア、またはオーバーライドするには、サイトまたはアプリケーションに対してより具体的な規則を構成します。

属性

属性 説明
bypassLoginPages 省略可能な Boolean 属性です。

フォーム認証のログイン ページとして指定されたページの認可チェックをスキップするかどうかを指定します。 これにより、認証されていないユーザーは、ログイン ページにアクセスしてログオンできます。

既定値は true です。

子要素

要素 説明
add 省略可能な要素です。

認可規則のコレクションに認可規則を追加します。
remove 省略可能な要素です。

認可規則のコレクションへの認可規則への参照を削除します。
clear 省略可能な要素です。

認可規則へのすべての参照を認可規則のコレクションから削除します。

構成サンプル

次の構成例は、Web.config ファイルに含まれている場合、既定の IIS 認可設定を削除します。これにより、すべてのユーザーが Web サイトまたはアプリケーション コンテンツにアクセスできるようになります。 次に、管理者特権を持つユーザーのみがコンテンツにアクセスできるようにする認可規則を構成します。

<configuration>
   <system.webServer>
      <security>
         <authorization>
            <remove users="*" roles="" verbs="" />
            <add accessType="Allow" users="" roles="Administrators" />
         </authorization>
      </security>
   </system.webServer>
</configuration>

サンプル コード

次の例では、管理者グループのユーザーが Contoso という名前の Web サイトにアクセスできるようにする認可規則の許可を追加します。

AppCmd.exe

appcmd.exe set config "Contoso" -section:system.webServer/security/authorization /+"[accessType='Allow',roles='administrators']"

Note

AppCmd.exe を使用してこれらの設定を構成するときに、必要に応じて commit パラメーターを apphost に設定できます。 これにより、Web.config ファイルでなく、ApplicationHost.config ファイル内の適切な場所のセクションに構成設定がコミットされます。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Contoso");
         ConfigurationSection authorizationSection = config.GetSection("system.webServer/security/authorization");
         ConfigurationElementCollection authorizationCollection = authorizationSection.GetCollection();

         ConfigurationElement addElement = authorizationCollection.CreateElement("add");
         addElement["accessType"] = @"Allow";
         addElement["roles"] = @"administrators";
         authorizationCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Contoso")
      Dim authorizationSection As ConfigurationSection = config.GetSection("system.webServer/security/authorization")
      Dim authorizationCollection As ConfigurationElementCollection = authorizationSection.GetCollection
      Dim addElement As ConfigurationElement = authorizationCollection.CreateElement("add")
      addElement("accessType") = "Allow"
      addElement("roles") = "administrators"
      authorizationCollection.Add(addElement)
      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Contoso";
var authorizationSection = adminManager.GetAdminSection("system.webServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Contoso");
var authorizationCollection = authorizationSection.Collection;

var addElement = authorizationCollection.CreateNewElement("add");
addElement.Properties.Item("accessType").Value = "Allow";
addElement.Properties.Item("roles").Value = "administrators";
authorizationCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Contoso"
Set authorizationSection = adminManager.GetAdminSection("system.webServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Contoso")
Set authorizationCollection = authorizationSection.Collection

Set addElement = authorizationCollection.CreateNewElement("add")
addElement.Properties.Item("accessType").Value = "Allow"
addElement.Properties.Item("roles").Value = "administrators"
authorizationCollection.AddElement(addElement)

adminManager.CommitChanges()