WSHttpBinding（サービス側）またはWCFテストクライアント（クライアント側）でデフォルトで使用されるセキュリティは何ですか？

最近、サービスをBasicHttpBindingからWSHttpBindingに移動しました（つまり [〜＃〜] soap [〜＃〜] 1.1-> SOAP 1.2）。In [〜＃〜] wcf [〜＃〜] 、WSHttpBinding（）を使用すると、デフォルトのセキュリティ設定の使用が開始されます。クライアントとサーバーは続行できるため、同じデフォルトのセキュリティ設定がWCFテストクライアントでも使用されていると思います「保護された」WSHttpBindingに切り替えた後に話します。フィドラーでは、以前は完全に単純だった要求/応答からのより複雑なセキュリティハンドシェイクを確認できるため、このセキュリティ設定を確認しました。

変更前：（BasicHttpBinding）

1. [HttpRequest]（クリアなSOAPリクエスト）

   [HttpResponse]（SOAP Response in Clear）

After：（WSHttpBinding）

1. [HttpRequest] RequestSecurityToken

   [HttpResponse] RequestSecurityTokenResponse

2. [HttpRequest] RequestSecurityToken

   [HttpResponse] RequestSecurityTokenResponse

3. [HttpRequest] RequestSecurityTokenResponse

   [HttpResponse] RequestSecurityTokenResponseCollection

4. [HttpRequest] EncryptedData

   [HttpResponse] EncryptedData

5. [HttpRequest] EncryptedData（実際のアプリケーションレベルのリクエスト）

   [HttpResponse] EncryptedData（実際のアプリケーションレベルの応答）

したがって、セキュリティが適用されていると想定できます。次に質問です。

質問1：セキュリティ設定とは何ですか？メンバーシッププロバイダーについてWCFに伝えたことはありません。実際、ユーザー名<->パスワードのテーブル（SQLまたはXML）はありません。では、どのような認証が行われているのでしょうか。 WCFテストクライアントは上記のように認証できますが、SoapUIはこれらのMicrosoft .NETデフォルトを取得しないため、問題があります。 SoapUIがクリアテキスト通信を試行すると、サーバーは不正なセキュリティトークンエラーで応答します。

質問2：SOAP 1.2？（？）の最も一般的に実施されているセキュリティモデルは何ですか？証明書、ユーザー名、パスワード、ダイジェスト、または_____によるものですか？これらの資格情報は保存され（SQL/XML？）、WCFサーバー側で構成されますか？