Authentification de l’expéditeur d’un message
Microsoft BizTalk Server utilise différents mécanismes pour vérifier qu’une partie est bien celle qu’elle prétend être, ou qu’un processus est ce qu’il prétend être. Par ailleurs, vous pouvez spécifier si le processus peut indiquer à BizTalk Server qui est l'expéditeur d'origine du message et si BizTalk Server reconnaît le tiers comme un partenaire.
Le schéma suivant représente les fonctionnalités de sécurité dans BizTalk Server qui vous permettent d'authentifier et d'autoriser l'expéditeur d'un message.
Fonctionnalités de sécurité que BizTalk Server utilise pour authentifier et autoriser l'expéditeur d'un message
Les fonctionnalités qui vous permettent d'authentifier l'expéditeur d'un message sont les suivantes :
Validation des signatures numériques. Si le message a une signature numérique, BizTalk Server l'utilise pour vérifier l'identité de l'expéditeur. Pour plus d’informations sur la configuration de la validation de signature numérique, consultez Guide pratique pour configurer BizTalk Server pour la réception de messages signés.
Résolution du tiers. Tous les messages insérés dans la base de données MessageBox, provenant ou non de BizTalk Server, sont dotés d'un ID de tiers (PID) qui est déterminé par le mappage d'un certificat numérique ou d'un compte Windows à un PID. Pour plus d’informations sur la configuration du composant de résolution de partie, consultez Utilisation de certificats pour la résolution de partie.
Authentification requise. Si le port de réception ne peut pas déterminer l'expéditeur du message, un hôte BizTalk peut l'accepter en tant que message « invité » ou ne pas en tenir compte. Cette fonctionnalité vous permet de protéger votre système des attaques par déni de service, ainsi des messages de tiers inconnus ne sont pas traités ou stockés dans le base de données des suivis. Pour plus d’informations sur les options d’authentification pour les ports de réception, consultez Comment configurer les options d’authentification pour un port de réception.
Approbation par authentification. Si la base de données MessageBox reçoit un message d'un hôte que vous n'avez pas identifié comme approuvé par authentification, elle remplace l'ID tiers (PID) par l'ID invité et l'ID de sécurité de l'expéditeur (SSID) par le compte de service sous lequel l'instance de l'hôte est exécutée. BizTalk Server autorise les hôtes identifiés comme approuvés par authentification à indiquer que l'expéditeur d'un message placé en file d'attente dans la base de données MessageBox est une entité différente de l'hôte approuvé lui-même. Les principales fonctions de l'approbation par authentification sont de permettre aux pipelines d'effectuer une mise en correspondance avec un PID et de transmettre ce PID aux services consommateurs pour son utilisation dans l'autorisation et la résolution du tiers sortant, et d'autoriser la transmission de l'ID de sécurité Windows de l'expéditeur (SSID) aux services consommateurs pour son utilisation dans l'autorisation des actions d'orchestration. Pour plus d’informations sur l’authentification de l’hôte approuvé, consultez Comment modifier les propriétés de l’hôte. Pour plus d’informations sur l’utilisation des orchestrations BizTalk Server conjointement avec la résolution de partie, consultez PartyResolution (BizTalk Server Sample).
Selon que vous devez savoir de qui provient ce message reçu, connaître l'expéditeur d'origine du message ou le destinataire de votre message, vous pouvez utiliser certaines ou toutes les fonctions présentées dans la figure.
S'il est important pour vos partenaires de savoir avec certitude que ces messages viennent de vous et que personne d'autre ne peut les lire pendant leur transit, vous devriez considérer l'utilisation des techniques suivantes pour aider à garantir que seuls les destinataires spécifiés et les applications de destinataire reçoivent les messages :
Utilisez des signatures numériques pour les messages sortants afin que votre partenaire puisse vérifier que vous êtes l'expéditeur du message.
Chiffrez les messages sortants afin d'aider à garantir que les tiers non autorisés ne peuvent pas voir le message en transit.
S'il est important de déterminer qui a envoyé un message à votre entreprise et que personne d'autre ne l'a lu pendant son transit, vous devriez considérer l'utilisation des techniques suivantes pour aider à garantir que seuls les destinataires spécifiés et les applications de destinataire reçoivent les messages :
Assurez-vous que BizTalk Server n'accepte que des messages aves des signatures numériques, afin que vous sachiez qui a envoyé le message.
Assurez-vous d'envoyer à vos partenaires le certificat de clé publique pour le chiffrement des messages qu'ils envoient à BizTalk Server. À l'aide du chiffrement, vous pouvez aider à garantir que les tiers non autorisés ne peuvent pas voir le message en transit.
Utilisez la propriété Authentification requise dans le port de réception pour vous assurer que le message provient d'un tiers connu.
Après le traitement du message par plusieurs hôtes, il n'est pas toujours facile de savoir qui est l'expéditeur d'origine du message. Dans les cas où vous devez connaître l’identité de l’expéditeur d’origine, par exemple, lorsque vous accordez l’accès pour envoyer ou recevoir un message, BizTalk Server fournit un mécanisme de sécurité pour propager l’identité de l’expéditeur d’origine via de nombreux hôtes afin de valider l’accès aux hôtes en aval en fonction de cette identité. Dans BizTalk Server, il s'agit du processus Approbation par authentification. Pour plus d’informations, consultez Authentification des messages entre les processus.