Condividi tramite

Autenticazione dei messaggi in ingresso

  • Articolo

BizTalk Server consente di autenticare il mittente di un messaggio (tramite le informazioni sui certificati o la sicurezza integrata di Windows) al fine di convalidarne l'identità. La figura seguente illustra le funzionalità di sicurezza in BizTalk Server che è possibile usare per autenticare i messaggi in ingresso.

Funzionalità di sicurezza che eseguono l'autenticazione dei messaggi in ingresso
Funzionalità di sicurezza utilizzate da BizTalk Server per autenticare i messaggi in arrivo

Quando BizTalk Server riceve un messaggio crittografato e firmato, esegue i passaggi seguenti per assicurare che l'entità mittente venga riconosciuta.

  1. Quando il messaggio viene recapitato a un indirizzo di ricezione di BizTalk Server, il gestore di ricezione tenta di ottenere l'ID di sicurezza di Windows (SSID) dal processo di trasmissione. L'indirizzo di ricezione passa l'identificatore SSID downstream per supportare i casi in cui il listener abbia già autenticato un messaggio firmato. Se è possibile ottenere le informazioni del certificato sul lato client, ad esempio tramite l'adapter HTTP o di Accodamento messaggi di BizTalk, l'indirizzo di ricezione di BizTalk Server può ottenere le informazioni del certificato e passarle per la successiva risoluzione di entità nella pipeline di ricezione. Se il gestore di ricezione non è in grado di ottenere l'identificatore SSID, questo campo viene lasciato vuoto.

    Il gestore di ricezione invia il messaggio alla pipeline di ricezione, dove il messaggio viene decrittografato, la firma digitale viene verificato e viene eseguita la risoluzione di entità se per la pipeline è disponibile un componente di risoluzione delle entità. Se il mittente ha utilizzato un certificato di firma nel messaggio in arrivo, il componente del decodificatore MIME/SMIME sovrascrive le eventuali informazioni del certificato ottenute dall'adapter.

  2. Se il mittente ha crittografato il messaggio, il decodificatore MIME/SMIME recupera il certificato di decrittografia dall'archivio certificati personali per l'account di servizio dell'istanza host e utilizza la chiave privata per decrittografare il messaggio.

    Se il mittente ha firmato il messaggio, il decodificatore MIME/SMIME autentica la firma digitale verificando che nell'hash del payload non siano presenti segni di manomissione e quindi recuperando il certificato dall'archivio certificati per verificare la firma. Se la chiave pubblica del firmatario è inclusa nel messaggio stesso, il decodificatore MIME/SMIME non recupera il certificato dall'archivio certificati, ma utilizza la chiave pubblica inclusa nel messaggio.

  3. Solitamente l'ultimo passaggio di elaborazione nella pipeline è la risoluzione di entità. Tramite BizTalk Explorer o la Console di amministrazione BizTalk Server è possibile creare entità, eseguire il mapping dell'entità a un certificato di firma o creare alias di entità. Per tute le entità definite in BizTalk Explorer è presente un identificatore univoco dell'entità (PID). BizTalk Server ottiene il PID e lo inserisce nel contesto del messaggio. Per ottenere il PID viene utilizzato uno dei metodi seguenti:

    1. Se il mittente ha firmato il messaggio e se il gestore di ricezione è stato in grado di ottenere un certificato sul lato client ed è stata selezionata l'opzione per risolvere l'entità tramite il certificato, BizTalk utilizza la firma corrispondente o il certificato sul lato client per cercare il PID. È necessario configurare il certificato come proprietà dell'entità prima di avviare la ricezione dei relativi messaggi. Per altre informazioni su come configurare l'entità, vedere Uso dei certificati per la risoluzione delle entità.

    2. Se il mittente non ha utilizzato un certificato di firma nel messaggio ed è stata selezionata l'opzione per risolvere l'entità utilizzando l'ID di sicurezza del mittente (SSID), il componente risoluzione dell'entità utilizza l'identificatore SSID per cercare il PID. È necessario configurare l'entità in modo che utilizzi SSID come alias prima di avviare la ricezione dei relativi messaggi. Per altre informazioni sul componente di risoluzione delle entità, vedere Componente della pipeline di risoluzione delle entità.

      Nota

      BizTalk Server utilizza il nome account anziché l'effettivo SID di Windows per la definizione di alias per le entità.

    3. Se non è possibile risolvere l'entità, la pipeline imposta il PID su Guest.

  4. Se la porta di ricezione è stata contrassegnata come Richiesta autenticazione e BizTalk Server ha ottenuto un PID valido risolvendolo in un'entità nota, il messaggio viene quindi inserito nella coda del database MessageBox. Se SSID è vuoto o il PID è un ID guest, BizTalk Server ignora il messaggio o lo invia alla coda degli elementi sospesi, a seconda della configurazione della proprietà Richiesta autenticazione. È possibile utilizzare la proprietà Richiesta autenticazione per ridurre l'impatto negativo della ricezione di una quantità elevata di messaggi da un'entità sconosciuta. Per altre informazioni sulle opzioni di autenticazione per le porte di ricezione, vedere Come configurare le opzioni di autenticazione per una porta di ricezione.

Vedere anche

Autenticazione dei messaggi tra processi
Protezione dei messaggi in uscita
Autenticazione del mittente di un messaggio
Autorizzazione del ricevente di un messaggio
Come configurare BizTalk Server per la ricezione di messaggi firmati
Certificati usati da BizTalk Server per i messaggi firmati