Condividi tramite

Consigli sulla sicurezza degli adapter SOAP

  • Articolo

BizTalk Server usa l'adattatore SOAP per pubblicare (ricevere) e usare i servizi Web (send). Per altre informazioni sull'adattatore SOAP, vedere Adapter SOAP. Per altre informazioni sui servizi Web, vedere Uso di Servizi Web. È consigliabile attenersi a queste linee guida per proteggere e distribuire l'adapter SOAP nel proprio ambiente.

  • Per indicazioni sulla sicurezza per la pubblicazione di servizi Web, vedere Abilitazione dei servizi Web.

  • L'adapter SOAP utilizza HTTP (Hypertext Transfer Protocol) per l'invio e la ricezione di messaggi a e da BizTalk Server. È pertanto necessario attenersi ai consigli per la sicurezza relativi alla protezione di Internet Information Services (IIS). Se si utilizza IIS 7.0, seguire le raccomandazioni per la configurazione dell'isolamento delle applicazioni in IIS 7.0. Per altre informazioni, vedere Creare un pool di applicazioni (IIS 7).

  • Quando si crea un pool di applicazioni per un indirizzo di ricezione SOAP, è necessario configurarlo affinché venga eseguito con un account membro del gruppo Windows per l'host isolato in cui viene eseguito l'adapter di ricezione SOAP e del gruppo di processi di lavoro di Internet Information Services (IIS_WPG group). È quindi necessario configurare l'istanza dell'host per l'adapter di ricezione SOAP per l'utilizzo dell'account. Se si cambia l'account per il gruppo IIS_WPG, sarà inoltre necessario aggiornare l'istanza dell'host in modo che venga eseguita con il nuovo account.

  • Quando si utilizzano certificati client SSL (Secure Sockets Layer) con l'adapter di trasmissione SOAP, è necessario configurare manualmente questi certificati.

  • Quando si utilizzano servizi Web, è possibile utilizzare certificati anonimi, di base, digest, integrati in Windows o client per l'autenticazione. Se si utilizzano servizi Web con l'autenticazione di base, è consigliabile utilizzare SSL per evitare che utenti non autorizzati possano leggere le credenziali dell'utente dal messaggio.

  • È possibile utilizzare Enterprise Single Sign-On (SSO) negli scenari in cui è necessario mappare il contenuto dell'utente front-end alle credenziali in un sistema back-end. Per altre informazioni, vedere How to Map Single Sign-On Credentials .For more information, see How to Map Single Sign-On Credentials.For more information, see How to Map Single Sign-On Credentials.

  • Se si utilizza l'autenticazione di base o non si applica la crittografia a livello dei messaggi, si consiglia di utilizzare SSL sia per la ricezione sia per l'invio di messaggi in modo da evitare che utenti non autorizzati possano leggere le credenziali dell'utente.

  • Si consiglia di utilizzare l'autenticazione integrata in Windows sia per l'invio sia per la ricezione di messaggi.

  • Il computer che esegue l'adattatore SOAP include anche il runtime di BizTalk Server. È consigliabile non inserire l'adapter SOAP nella rete perimetrale. In caso affermativo, è necessario aprire le porte dalla rete perimetrale al dominio dati per SQL Server traffico al database MessageBox e si espone il runtime di BizTalk Server a potenziali attacchi. È consigliabile configurare l'adapter SOAP nel dominio di elaborazione, ovvero non nella rete perimetrale. È quindi possibile configurare il firewall più esterno per inoltrare le richieste SOAP tramite firewall al dominio di elaborazione. Questo meccanismo è denominato proxy inverso. L'implementazione del server Forefront Threat Management Gateway (TMG) 2010 Server è denominata Pubblicazione sul Web.

Vedere anche

Porte per i diritti utente minimi per la ricezione e l'invio dei server