Consigli sulla sicurezza degli adapter HTTP
Si usa l'adapter HTTP per scambiare informazioni tra BizTalk Server e un'applicazione tramite Hypertext Transfer Protocol (HTTP). Le applicazioni possono trasmettere messaggi a un server inviando richieste POST HTTP o GET HTTP a uno specifico URL HTTP. Per altre informazioni sulla scheda HTTP, vedere Adapter HTTP. Per la sicurezza e la distribuzione dell'adapter HTTP nell'ambiente in uso è consigliabile attenersi alle seguenti linee guida:
Assicurarsi di configurare le impostazioni di Internet Information Services (IIS) per l'adapter HTTP. Per altre informazioni, vedere Come configurare IIS per un percorso di ricezione HTTP.
Se si utilizza la versione 7.0, attenersi alle istruzioni di IIS 7.0 per la configurazione dell'isolamento delle applicazioni.
Se si utilizza l'autenticazione di base o non si applica la crittografia a livello dei messaggi, si consiglia di utilizzare SSL (Secure Sockets Layer) sia per la ricezione sia per l'invio di messaggi in modo da evitare il rischio che utenti non autorizzati possano leggere le credenziali dell'utente.
Si consiglia di utilizzare l'autenticazione integrata in Windows sia per l'invio sia per la ricezione di messaggi.
Si consiglia di non rinominare, copiare o spostare il file di estensione ISAPI. In questo modo, i programmi di installazione degli aggiornamenti relativi alla sicurezza possono applicare correttamente qualsiasi potenziale aggiornamento della sicurezza attinente a questo file.
È consigliabile utilizzare elenchi di controllo di accesso discrezionale (DACL) avanzati per la directory contenente il file di estensione ISAPI e per la directory virtuale creata per la ricezione dei messaggi. I membri del gruppo host BizTalk di tipo Isolato per l'host che esegue l'adapter HTTP devono disporre delle autorizzazioni di lettura ed esecuzione, mentre gli utenti autenticati dall'adapter HTTP devono disporre delle autorizzazioni di lettura per tali directory.
Quando si utilizzano certificati client SSL con l'adapter di trasmissione HTTP, è necessario configurare manualmente tali certificati.
Analogamente ad altri componenti BizTalk Server, è consigliabile non inserire la scheda HTTP nella rete perimetrale. Se l'adapter viene inserito nella rete perimetrale, è necessario aprire porte da tale rete al dominio dei dati per il traffico SQL Server verso il database MessageBox, operazione potenzialmente rischiosa. Si consiglia di configurare l'adapter HTTP nel dominio di elaborazione, ovvero fuori dalla rete perimetrale. È possibile quindi configurare il firewall più esterno (FW4) per l'inoltro delle richieste HTTP attraverso il firewall del dominio di elaborazione (FW3). In questo caso, la presenza di IIS nella rete perimetrale non è necessaria. Questo meccanismo è denominato proxy inverso. L'implementazione del server Forefront Threat Management Gateway (TMG) 2010 Server è denominata Pubblicazione sul Web.
Quando si crea un pool di applicazioni per un indirizzo di ricezione HTTP, è necessario configurarlo per l'esecuzione con un account membro del gruppo Windows per l'host isolato su cui è in esecuzione l'adapter di ricezione HTTP e il gruppo di processi di lavoro di Internet Information Services (gruppo IIS_WPG). È quindi necessario usare la console di amministrazione BizTalk Server per configurare l'istanza host per la scheda di ricezione HTTP per l'uso di questo account. Se si cambia l'account per il gruppo IIS_WPG, sarà inoltre necessario aggiornare l'istanza dell'host in modo che venga eseguita con il nuovo account. Per altre informazioni, vedere Come configurare IIS per un percorso di ricezione HTTP.
Vedere anche
Porte per i server di ricezione e di invio
Diritti utente minimi di sicurezza