ロールベースセキュリティの技術サンプル

[アーティクル]
09/10/2008

更新 : 2007 年 11 月

このサンプルでは、ロールベースセキュリティの使用例を示します。サーバーアプリケーションは、クライアントアプリケーションで使用されているユーザーアカウントと、このアカウントが管理者のロールに属しているかどうかを報告します。

サンプルの使用については、次のトピックを参照してください。

コマンドプロンプトを使用してサンプルをビルドするには

コマンドプロンプトウィンドウを開き、RoleBasedSecurity ディレクトリ内の言語固有のサブディレクトリのいずれかに移動します。
この言語固有のサブディレクトリから、使用しているプログラミング言語に応じて、「msbuild RoleBasedSecurityCS.sln」または「msbuild RoleBasedSecurityVB.sln」と入力します。

Visual Studio を使用してサンプルをビルドするには

Windows エクスプローラを開き、RoleBasedSecurity ディレクトリにある、言語固有のサブディレクトリのいずれかに移動します。
使用しているプログラミング言語に応じて、RoleBasedSecurityCS.sln または RoleBasedSecurityVB.sln をダブルクリックし、そのファイルを Visual Studio で開きます。
[ビルド] メニューの [ソリューションのビルド] をクリックします。

サンプルを実行するには

コマンドプロンプトまたは Windows エクスプローラを使用して、新しい実行可能ファイルが格納されているディレクトリに移動します。
コマンドラインで「RBSecDemo.exe」と入力するか、Windows エクスプローラで RBSecDemo.exe ファイルのアイコンをダブルクリックして起動します。
[Display Logged On User] ボタンをクリックします。現在ログオンしているユーザーのアカウント名が、アプリケーションウィンドウに表示されます。次に、[Is Caller in Demo Role?] ボタンをクリックします。"You ARE in RBSecurityDemoRole" というメッセージが表示されます。
[スタート] ボタンをクリックし、[管理ツール] をポイントし、[コンポーネントサービス] をクリックして、コンポーネントサービス管理ツール (別名、COM+ エクスプローラ) を起動します。COM+ エクスプローラの左ペインで、コンポーネントサービス\コンピュータ\マイコンピュータ\COM+ アプリケーションを展開し、RBSecDemoSvr COM+ アプリケーションを探します。次に、RBSecDemoSvr アプリケーションのアイコンを右クリックし、[プロパティ] をクリックします。アプリケーションに対応するプロパティダイアログボックスが表示されます。[セキュリティ] タブをクリックします。このページに表示される情報は、ApplicationAccessControlAttribute で指定した設定に対応しています。[Enforce access checks for this application] チェックボックスをオフにします。

重要 :

この操作を行うと、アプリケーションに含まれているすべてのコンポーネントで COM+ セキュリティが無効になります。

[OK] をクリックして、プロパティダイアログボックスを閉じます。
RBSecDemo クライアントアプリケーションに戻ります。[Display Logged On User] をクリックします。"Unknown caller (Security is not enabled)" というメッセージが表示されます。[Is Caller in Demo Role?] をクリックします。クライアントアプリケーションで報告されるユーザーのロールは、依然として RBSecurityDemoRole です。これは、セキュリティが無効な場合に IsCallerInRole を呼び出すと、必ず true が戻るためです。
COM+ エクスプローラに戻り、アプリケーションアイコンを右クリックし、[プロパティ] をクリックして、[RBSecDemoSvr] プロパティページをもう一度開きます。[セキュリティ] タブをクリックし、[Enforce access checks for this application] チェックボックスをオンに戻します。アプリケーションのセキュリティ機能が再び有効になります。[OK] をクリックして、プロパティダイアログボックスを閉じます。
"RBSecDemoSvr\Components" を展開し、Microsoft.Samples.Technologies.ComponentServices.RoleBasedSecurity.RBSecurityObject コンポーネントを探します。Microsoft.Samples.Technologies.ComponentServices.RoleBasedSecurity.RBSecurityObject コンポーネントを右クリックし、ポップアップメニューの [プロパティ] をクリックします。
[セキュリティ] タブをクリックします。ここで表示される承認の設定は、サンプルコードで指定した ComponentAccessControlAttribute に対応しています。コンポーネントに明示的に関連付けられたロールとして、"RBSecurityDemoRole" というロールが表示されます。このロールは、サンプルコードで SecurityRoleAttribute を使用して作成され、サンプルコンポーネントにバインドされたロールです。[OK] をクリックして、プロパティダイアログボックスを閉じます。
COM+ エクスプローラで、RBSecDemoSvr アプリケーションの下にある [ロール] フォルダを展開します。RBSecurityDemoRole があります。RBSecurityDemoRole\Users を展開します。[ユーザー] フォルダには、アカウントが 1 つだけ ("すべてのユーザー") 表示されています。"すべてのユーザー" を右クリックし、ポップアップメニューの [削除] をクリックします。表示されるダイアログボックスで、削除を了承します。COM+ では、ロールに関連するセキュリティ設定がキャッシュされるため、変更結果を確認するには、RBSecDemoSvr アプリケーションをいったん終了する必要があります。COM+ エクスプローラで、アプリケーションを右クリックし、ポップアップメニューの [シャットダウン] をクリックします。
RBSecDemo クライアントアプリケーションに戻ります。マウスの左右いずれかのボタンをクリックすると、"アクセスが拒否されました。" と表示された MessageBox が表示されます。これは、RBSecurityDemoRole コンポーネントに現在の呼び出し元ユーザーが含まれていないため、オブジェクト作成時に、アクセス拒否セキュリティ例外がスローされたためです。

重要 :
この操作を行うと、アプリケーションに含まれているすべてのコンポーネントで COM+ セキュリティが無効になります。

サンプルをアンインストールするには

MsBuild ツールを実行したディレクトリ、または Visual Studio で .sln ファイルを起動したディレクトリに移動します。
使用しているプログラミング言語に応じて、「msbuild RoleBasedSecurityVB.sln /t:Clean」または「msbuild RoleBasedSecurityVB.sln /t:Clean」を実行します。この操作によって /u スイッチ付きで .NET サービスインストールツール (Regsvcs.exe) およびグローバルアセンブリキャッシュツール (Gacutil.exe) が呼び出され、COM+ カタログおよびグローバルアセンブリキャッシュからサンプルファイルが削除されます。

必要条件

プラットフォーム : Windows 2000、Windows XP、Windows Server 2003

.NET Framework のバージョン : 2.0

解説

サンプルのバイナリファイルを作成する方法およびサンプルを登録する手順については、ソースコード内のコメントを参照してください。

サンプルアプリケーションでは、次の情報を取得できます。

COM+ セキュリティが有効になっているかどうか。
現在の呼び出し元が、サンプルによって作成されたセキュリティロールのメンバであるかどうか。
現在の呼び出し元のアカウント名。

コンポーネントサービス管理ツールでは、このコンポーネントは Microsoft.Samples.Technologies.ComponentServices.RoleBasedSecurity.RBSecurityObject と表示されます。

メモ :
このサンプルを実行する場合は、その前に、グローバルアセンブリキャッシュツール (Gacutil.exe) を実行して、RBSecDemoSvr.dll のアセンブリをグローバルアセンブリキャッシュにインストールする必要があります。Gacutil.exe は SDK\<version>\Bin ディレクトリにあります。たとえば、Visual Basic バージョンの場合は、C:\Documents and Settings\Your User Name\My Documents\Samples\Technologies\ComponentServices\RoleBasedSecurity\VB\bin ディレクトリに移動し、「gacutil -i RBSecDemoSvr.dll」と入力します。

このサンプルを実行する場合は、その前に、グローバルアセンブリキャッシュツール (Gacutil.exe) を実行して、RBSecDemoSvr.dll のアセンブリをグローバルアセンブリキャッシュにインストールする必要があります。Gacutil.exe は SDK\<version>\Bin ディレクトリにあります。たとえば、Visual Basic バージョンの場合は、C:\Documents and Settings\Your User Name\My Documents\Samples\Technologies\ComponentServices\RoleBasedSecurity\VB\bin ディレクトリに移動し、「gacutil -i RBSecDemoSvr.dll」と入力します。

このサンプルでは、アプリケーションレベルまたはコンポーネントレベルでセキュリティを有効にし、属性を使用してセキュリティロールを作成する方法も示しています。

メモ :
.NET の COM+ セキュリティ相互運用性は、COM+ 1.0 セキュリティサービスを使用している既存アプリケーションのマネージ拡張を、アプリケーション開発者が記述できるようにするための機能です。.NET Framework には、独自のロールベースセキュリティが用意してあります。これら 2 つの機構は独立していますが、1 つのアプリケーションで使用できる機構はいずれか 1 つだけです。

.NET の COM+ セキュリティ相互運用性は、COM+ 1.0 セキュリティサービスを使用している既存アプリケーションのマネージ拡張を、アプリケーション開発者が記述できるようにするための機能です。.NET Framework には、独自のロールベースセキュリティが用意してあります。これら 2 つの機構は独立していますが、1 つのアプリケーションで使用できる機構はいずれか 1 つだけです。