明示的に資格情報を設定せずにWCF Windows認証が機能する方法

Question

私はいくつかのWCFサービスを呼び出すasp.net Webアプリケーションを持っています。 Webアプリケーションはwww.mydomain.comにあり、サービスはservices.mydomain.comにあります。それらは同じサーバーからホストされます。

<binding name="WindowsSecuredBinding"> 
    <security mode="Transport"> 
    <transport clientCredentialType="Windows" /> 
    </security> 
</binding> 

と、これらの新しい安全なエンドポイントを使用するようにクライアントのWebアプリケーションを構成し：

私は、トランスポートセキュリティ（HTTPS）およびWindows authenicationを使用するサービスへのセキュアなエンドポイント（bassicHttpBindings）を追加しました。次のステップでは、Windows認証に合格するためにクライアントの資格情報を設定するために、Webアプリケーションにいくつかのコードを記述することを期待していました。私の驚いたことに、クライアントの資格情報を設定せずにサービスコールが成功しています。私はそれがWebアプリケーションが実行されているアカウントを送信する必要がありますが、確認する方法を知らないと仮定しています。他のシナリオでは、私は暗黙のデフォルトを持たないクライアントの資格情報を見たと思いました。どのように認証が成功している

1. ：

   だから私は2つの質問がありますか？それは、ブラウザのユーザーの資格情報、資格情報の下で実行されているアプリを実行するユーザーを送信しますか？

2. 認証プロセスをデバッグ/ログ/トレースするにはどうすればよいですか？セキュリティを検証できるように、少なくとも認証されているユーザー名を確認したいと思います。あなたは、サーバーとクライアント側でそれを持っているとして、あなたの現在の構成で

Answer 1

1. は、クライアントは、それがもとで実行されているcreditialsを送信しています。資格情報の種類がWindowsに設定されているため、セキュリティネゴシエーションがドメインにある場合はKerberosで、ワークグループ環境の場合はNTLMでチェックされます。 （More information can be found here.）
2. 認証プロセスをデバッグするには、WCFに監査機能を有効にする必要があります。 Instructions for adding auditing are here。

   <behaviors> 
   <behavior name="myAuditBehavior"> 
       <serviceSecurityAudit auditLogLocation="Application" 
       suppressAuditFailure="false" 
       serviceAuthorizationAuditLevel="None" 
       messageAuthenticationAuditLevel="SuccessOrFailure" /> 
   </behavior> 
   </behaviors> 
   

   とサービスに動作を追加：

はここ監査MSDNのページから重要な部分だ

<service type="[Your service type here]" behaviorConfiguration="myAuditBehavior"> 

監査を有効にすると、すべての認可活動を見ることができます（成功した場合と失敗する場合があります）。これにより、あなたのセキュリティがあなたが望むように設定されていることを検証することができます。

ASP.NET Webアプリケーション（これは偽装と呼ばれます）を使用しているユーザーの資格情報を渡す機能が必要な場合は、このページの「Delagation and Impersonation with WCF」にmsdnのドキュメントがあります。