WCFトランスポートとメッセージ

WCFのセキュリティは実際には いくつかの機能で構成されています 。これら2つの違いは、メッセージの署名と暗号化の方法です。

トランスポートセキュリティは、ポイントツーポイントのチャネルセキュリティのみを提供します。つまり、HTTPSはクライアントとクライアントに公開されているサーバーとの間でのみ安全なチャネルを確立します。ただし、このサーバーが単なるロードバランサーまたはリバースプロキシサーバーの場合は、メッセージのコンテンツに直接アクセスできます。

メッセージセキュリティは、エンドツーエンドのチャネルセキュリティを提供します。つまり、セキュリティは転送されるデータの一部であり、意図した宛先のみがデータを復号化できます（ロードバランサーまたはプロキシは暗号化されたメッセージのみを参照します）。ほとんどの場合、メッセージセキュリティも証明書を使用して暗号化と署名を提供しますが、トランスポートセキュリティはHWアクセラレーションを使用できるため、通常は低速です。

高度なシナリオでは、これらの方法を組み合わせることができます。たとえば、ロードバランサーの後で内部ネットワークを信頼するため、HTTPSによってロードバランサーとの通信を保護できますが、同時にメッセージに署名（メッセージセキュリティ）を適用して、メッセージが変更されていないことを証明できます。

これら2つの違いのもう1つは、トランスポートセキュリティが単一のトランスポートプロトコルに関連するのに対し、メッセージセキュリティはトランスポートプロトコルに依存しないことです。

メッセージセキュリティは相互運用可能なプロトコルに基づいています（ただし、WCFのすべての構成が相互運用可能であるとは限らないことに注意してください）。 WCFは、少なくとも部分的にこれらのプロトコルをサポートします。

• WS-Security 1.0および1.1-暗号化、署名、トークン転送、タイムスタンプなどの基本的なルール.
• UserNameトークンプロファイル1.0-ユーザー名とパスワードの転送に使用されるトークンの定義。すぐに使えるWCFはダイジェストされたパスワードをサポートせず、このトークンをトランスポートまたはメッセージの暗号化で使用する必要があるため、この仕様は部分的にのみ実装されています。
• X509トークンプロファイル1.1-証明書の転送に使用されるトークンの定義。
• Kerberosトークンプロファイル1.1-Kerberosチケットの転送に使用されるトークンの定義。
• SAML 1.1トークンプロファイル1.0および1.1-フェデレーションセキュリティに使用されるトークンの定義。 SAML 2.0はWIFによって提供されます。
• WS-SecurityPolicy 1.1および1.2-WSDLでセキュリティアサーションを定義するためのサポートを提供します。
• WS-SecureConversation 1.3および2005年2月-最初の呼び出し中にのみ資格情報が交換され、残りの通信で一意のセキュリティトークンが使用されるセキュリティセッションのサポートを提供します。
• WS-Trust 1.3および2005年2月-フェデレーションシナリオとセキュリティトークンサービス（STS）のサポートを提供します。

WCFはWS-I Basic Security Profile 1.0もサポートしています。これは、規定された構成を持つ以前のプロトコルのサブセットにすぎません。

相互運用性のない機能については、WCFはWindowsセキュリティやTLSNegoやSPNegoなどの機能を提供します（どちらも一般的に相互運用可能である必要がありますが、多くのSOAPスタック）では利用できません）。