FC2ブログ

記事一覧

基本認証とフォーム認証の併用について | asp.net


今回は asp.net において IIS の基本認証と asp.net のフォーム認証を併用する際の注意点について触れていきたいと思います。
多くの Web サイトでは公開前に基本認証( Basic 認証)を設定して外部からのアクセスを遮断し、公開したら認証を外すことが多いと思います。またテスト環境でも外部からのアクセスを防ぐために基本認証を設定することもあると思います。
その際、asp.net の Web フォームにフォーム認証を実装していることで意図しない動作をすることがありましたので、ここに覚え書きします。


前提条件
・Windows 7 Professional 以降 / Windows Server 2008 R2 以降
・Visual Studio 2010 Professional 以降
・VB.NET
・.Net Framework 4.0 以降



1.IISの基本認証の設定

まずはおさらいがてら、基本認証の設定方法について見ていきます。
デフォルトでは IIS に基本認証がインストールされていませんので、以下の手順でインストールします。

コントロールパネル > プログラムと機能 > Windows の機能の有効化または無効化

aspnet_basic_auth_01.png


次に IIS マネージャーを開き、任意のアプリケーションまたはディレクトリを選択して、認証から基本認証を有効にします。

aspnet_basic_auth_02.png


IIS 上で構成されている Web サイトを開くと基本認証を求められることが分かります。

aspnet_basic_auth_03.png



2.フォーム認証の実装

次にフォーム認証の実装方法ですが、マイクロソフトの公式サイトにも載っていますし、以前の記事「セッションハイジャック対策がされているか確認する方法」でもご紹介しておりますので、ご参考ください。
フォーム認証が実装できましたら、フォーム認証の <deny users="?" /> の設定を削除して <allow users="*" /> の設定を追加します。(※通常の設定はフォーム認証割れていない場合はログインフォームにリダイレクトですが、ここではフォーム認証のリダイレクトではないことを証明するためにわざと認証しなくてもアクセスできるように設定します。)

aspnet_basic_auth_04.png



3.動作の確認

上記の実装ができましたら、動作を確認します。
デバッグを開始すると初めからログインページが開いてきます。

aspnet_basic_auth_05.png


基本認証を外してみると allow users="*" で設定した通りどのページでも開けるようになります。
実はこれ、IIS の基本認証とフォーム認証の併用が不可だということの証明です。IIS で基本認証を設定していると、その認証結果を元にフォーム認証にも認証を求める動作からくるようです。基本認証のユーザー・パスワードがフォーム認証のユーザー・パスワードと異なることも原因のうちのひとつです。



4.対応方法

よって IIS の基本認証では asp.net のフォーム認証と併用した際に正しく動作しないことがあります。
私が考えてた対応方法は2つ。いずれもメリットデメリットありますので、お気をつけください。

(1)IIS の基本認証を外し、IP制限をかける。
  →基本認証が動作しなくなるため、正しくフォーム認証が動作します。しかしながら、スマホを使用した 4G ネットワークからのテストができなくなります。

(2)Global.asax で基本認証をコーディングし、フォーム認証と併用する。
  →正しく動作するようになりますが、アプリケーション以外の公開したくないディレクトリやサービスがある場合は、その認証はかかりません。






最後までお読みいただきありがとうございます。
いかがでしたでしょうか。他にも asp.net に関連する記事を投稿しておりますのでよろしければご参考くださいませ。




関連記事

コメント

コメントの投稿

カテゴリ別記事一覧

広告

プロフィール

石河 純


著者名 :石河 純
自己紹介:素人上がりのIT技術者。趣味は卓球・車・ボウリング

IT関連の知識はざっくりとこんな感じです。
【OS関連】
WindowsServer: 2012/2008R2/2003/2000/NT4
Windows: 10/8/7/XP/2000/me/NT4/98
Linux: CentOS RedHatLinux9
Mac: macOS Sierra 10.12 / OSX Lion 10.7.5 / OSX Snow Leopard 10.6.8
【言語・データベース】
VB.net ASP.NET C#.net Java VBA
Xamarin.Forms
Oracle10g SQLServer2008R2 SQLAnywhere8/11/16
ActiveReport CrystalReport ReportNet(IBM)
【ネットワーク関連】
CCNP シスコ技術者認定
Cisco Catalyst シリーズ
Yamaha RTXシリーズ
FireWall関連
【WEB関連】
SEO SEM CSS IIS6/7 apache2

休みの日は卓球をやっています。
現在、卓球用品通販ショップは休業中です。