Authentifizierung des Absenders einer Nachricht
Microsoft BizTalk Server verwendet verschiedene Mechanismen, um zu überprüfen, ob eine Partei die Person ist, die sie vorgibt, zu sein, oder ob ein Prozess das ist, was er vorgibt. Außerdem können Sie angeben, ob der Prozess an BizTalk Server weitergeben kann, wer der ursprüngliche Absender der Nachricht ist, und ob die Partei von BizTalk Server als ein Partner erkannt wird.
In der folgenden Abbildung sind die Sicherheitsfunktionen in BizTalk Server dargestellt, mit deren Hilfe der Absender einer Nachricht authentifiziert und autorisiert werden kann.
Die Sicherheitsfunktionen, die von BizTalk Server zum Authentifizieren und Autorisieren des Absenders einer Nachricht verwendet werden
Der Absender einer Nachricht kann mithilfe folgender Funktionen authentifiziert werden:
Digitale Signaturüberprüfung. Wenn die Nachricht eine digitale Signatur aufweist, wird diese von BizTalk Server zum Prüfen der Identität des Absenders verwendet. Weitere Informationen zum Konfigurieren der Überprüfung digitaler Signaturen finden Sie unter Konfigurieren von BizTalk Server für den Empfang signierter Nachrichten.
Auflösen der Partei. Alle Nachrichten, die in die MessageBox-Datenbank aufgenommen werden, weisen eine Partei-ID (PID) auf, die anhand der Zuordnung eines digitalen Zertifikats oder eines Windows-Kontos zu einer PID bestimmt wird. Dabei ist es nicht von Bedeutung, ob die Nachricht aus einer Quelle innerhalb oder außerhalb von BizTalk Server stammt. Weitere Informationen zum Konfigurieren der Partyauflösungskomponente finden Sie unter Verwenden von Zertifikaten für die Parteiauflösung.
Authentifizierung erforderlich. Wenn der Empfangsport den Absender der Nachricht nicht ermitteln kann, kann ein BizTalk-Host die Nachricht entweder als „Gastnachricht“ akzeptieren oder vollständig ignorieren. Mit dieser Funktion können Sie Ihr System vor Denial-of-Service-Angriffen schützen, da Nachrichten von unbekannten Parteien nicht verarbeitet oder in der Überwachungsdatenbank gespeichert werden. Weitere Informationen zu den Authentifizierungsoptionen für Empfangsports finden Sie unter Konfigurieren von Authentifizierungsoptionen für einen Empfangsport.
Vertrauenswürdige Authentifizierung. Wenn die MessageBox-Datenbank eine Nachricht von einem Host empfängt, der nicht als vertrauenswürdige Authentifizierung angegeben wurde, überschreibt die MessageBox-Datenbank die PID mit der Gast-ID und die SSID mit dem Dienstkonto, als das die Hostinstanz ausgeführt wird. In BizTalk Server können Hosts mit vertrauenswürdiger Authentifizierung angeben, dass eine Nachricht, die der vertrauenswürdige Host in der Warteschlange der MessageBox-Datenbank ablegt, von einer anderen Entität als ihm selbst stammt. Die Vertrauenswürdigkeit der Authentifizierung soll vor allem dafür sorgen, dass Pipelines Parteien in eine PID auflösen und diese PID an verarbeitende Dienste zum Autorisieren und Auflösen ausgehender Parteien weitergeben können. Außerdem soll sie die Übertragung der Windows-Sicherheits-ID (SSID) des Absenders an verarbeitende Dienste zum Zwecke der Autorisierung von Orchestrierungsaktionen ermöglichen. Weitere Informationen zum vertrauenswürdigen Authentifizierungshost finden Sie unter Ändern von Hosteigenschaften. Weitere Informationen zur Verwendung BizTalk Server Orchestrierungen in Verbindung mit der Parteiauflösung finden Sie unter PartyResolution (BizTalk Server Beispiel).
Je nachdem, ob Sie wissen müssen, von wem Sie diese Nachricht erhalten haben, d. h. dem ursprünglichen Absender der Nachricht oder dem Empfänger bzw. Viewer der Nachricht, können Sie einige oder alle der in der Abbildung dargestellten Funktionen verwenden.
Wenn es für Ihre Partner wichtig ist, mit Sicherheit zu wissen, dass Nachrichten von Ihnen stammen und keine andere Person diese während des Übertragungswegs lesen kann, sollten Sie mithilfe der folgenden Techniken sicherstellen, dass nur die angegebenen Empfänger und empfangenden Anwendungen die Nachrichten erhalten:
Verwenden Sie digitale Signaturen für ausgehende Nachrichten, damit Ihr Partner prüfen kann, ob Sie der Absender der Nachricht sind.
Verschlüsseln Sie ausgehende Nachrichten, um sicherzustellen, dass keine unbefugten Parteien die Nachricht während des Übertragungswegs anzeigen können.
Wenn es wichtig ist, dass festgestellt werden kann, wer eine Nachricht an Ihr Unternehmen gesendet hat und dass die Nachricht nicht während des Übertragungswegs von einer anderen Person gelesen wurde, können Sie mithilfe der folgenden Techniken sicherstellen, dass nur die angegebenen Empfänger und empfangenden Anwendungen die Nachrichten erhalten:
Stellen Sie sicher, dass BizTalk Server nur Nachrichten mit digitalen Signaturen akzeptiert, sodass der Absender der Nachricht bekannt ist.
Senden Sie Ihren Partnern das Zertifikat für öffentlichen Schlüssel zum Verschlüsseln der Nachrichten, die von den Partnern an BizTalk Server gesendet werden. Mithilfe der Verschlüsselung kann sichergestellt werden, dass keine unbefugten Parteien die Nachricht während des Übertragungswegs anzeigen können.
Verwenden Sie die Eigenschaft für die erforderliche Authentifizierung im Empfangsport, um sicherzustellen, dass die Nachricht von einer bekannten Partei stammt.
Nachdem mehrere Hosts die Nachricht verarbeitet haben, ist möglicherweise nicht eindeutig festzustellen, wer der ursprüngliche Absender der Nachricht ist. In Fällen, in denen Sie die Identität des ursprünglichen Absenders kennen müssen, z. B. beim Gewähren des Zugriffs zum Senden oder Empfangen einer Nachricht, bietet BizTalk Server einen Sicherheitsmechanismus für die Weitergabe der Identität des ursprünglichen Absenders über viele Hosts, um den Zugriff auf Downstreamhosts basierend auf dieser Identität zu überprüfen. In BizTalk Server wird hierzu der Prozess für vertrauenswürdige Authentifizierung verwendet. Weitere Informationen finden Sie unter Authentifizierung von Nachrichten zwischen Prozessen.