フォーム認証を使用すると、オペレーティング システムから提供される認証機構ではなくアプリケーション レベルで、クライアントの登録と認証を管理できます。
| 重要 |
| フォーム認証では、ユーザー名とパスワードがプレーンテキストでサーバーに送信されるため、アプリケーションではホーム ページ以外のすべてのページおよびログオン ページで SSL (Secure Sockets Layer) 暗号化を使用する必要があります。 |
UI 要素の一覧
要素名 | 説明 |
---|
[ログイン URL] | 有効な認証 Cookie が見つからない場合にログオン要求をリダイレクトする URL を指定します。既定値は login.aspx です。 |
[認証 Cookie のタイムアウト (分)] | Cookie の有効期限切れまでの時間を分 (整数値) 単位で指定します。既定値は 30 です。SlidingExpiration 属性が True の場合、time-out 属性はスライディング値になり、最後の要求を受信してから指定の時間 (分数) が経過した後に期限切れとなります。パフォーマンスへの影響を避けるためと、Cookie 警告を有効にしているユーザーのブラウザーに警告が何度も表示されることがないように、指定された時間の半分が経過すると Cookie が更新されます。 |
[モード] | フォーム認証のチケットを格納する場所を指定します。使用できるオプションは、次のとおりです。 - [Cookie を使用しない]: Cookie は使用されません。
- [Cookie を使用する]: デバイスに関係なく、Cookie は常に使用されます。
- [自動検出]: デバイス プロファイルで Cookie がサポートされている場合に、Cookie が使用されます。これ以外の場合は、Cookie は使用されません。Cookie をサポートしていることがわかっているデスクトップ ブラウザーの場合、Cookie が有効かどうかが ASP.NET によってチェックされます。
- [デバイス プロファイルを使用する]: デバイス プロファイルで Cookie がサポートされている場合に、Cookie が使用されます。これ以外の場合は、Cookie は使用されません。ASP.NET では、Cookie がサポートされているデバイス上で Cookie が有効かどうかがチェックされません。これは既定の設定です。
|
[名前] | フォーム認証 Cookie の名前を設定します。既定値は .ASPXAUTH です。 |
[保護モード] | Cookie 用に暗号化を使用する場合は、暗号化の種類を指定します。オプションは、次のとおりです。 - [暗号化と検証]: Cookie の保護に検証と暗号化の両方を使用するように指定します。このオプションでは、構成済みのデータ検証アルゴリズム (<machineKey> 要素に基づく) が使用されます。Triple-DES (3DES) が使用できる状態であり、キーが 48 バイト以上と充分に長い場合、暗号化に Triple-DES (3DES) が使用されます。[暗号化と検証] は、既定値であり推奨値です。
- [なし]: Cookie を個人用設定のみの目的で使用しているサイトやセキュリティ要件が低いサイトに対して、暗号化および検証の両方を無効にすることを指定します。Microsoft ではこの設定を推奨しませんが、.NET Framework を使用して個人用設定を有効にする方法としては最もリソース消費が少なくて済みます。
- [暗号化]: Cookie の暗号化に Triple-DES または DES を使用し、データの検証は Cookie では行わないことを指定します。このような形態で Cookie を使用すると、プレーンテキスト攻撃を受ける危険があります。
- [検証]: 暗号化された Cookie の内容が転送中に変化していないかを検証スキームで検証することを指定します。この Cookie は、検証キーと Cookie データとの連結、メッセージ認証コード (MAC) の算出、および送出 Cookie への MAC の付加により、Cookie 検証を使用して作成されます。
|
[SSL が必要] | 認証 Cookie の送信に SSL 接続を必要とするかどうかを指定します。既定では、無効です。 |
[要求ごとに Cookie の有効期限を延長する] | スライディング期限設定を有効にするかどうかを指定します。スライディング期限設定を有効にすると、アクティブな認証 Cookie の時間は、単一セッション内の要求ごとに期限切れになるようにリセットされます。既定では、有効です。 |
関連項目