Web サービスの有効化
Web サービスを公開するには、インターネット インフォメーション サービス (IIS)、BizTalk 分離ホスト、および Windows のユーザー アカウントとグループ アカウントを構成する必要があります。 このセクションでは、IIS で Web サービスを有効にする方法について説明します。 Web サービスの有効化の詳細については、IIS のドキュメントを参照してください。
インターネット インフォメーション サービス
IIS が ASP.NET で構成されている Windows システムに Web サービスを発行できます。 サーバーごとに、すべての Web サービスが ASP.NET ワーカー プロセス内で実行されます。
既定では、ASP.NET ワーカー プロセスは、ローカルの ASPNET アカウントを使用します。 IIS は、Web サービス要求の処理にアプリケーション プールを使用します。
BizTalk 分離ホスト
Web サービスを有効にするには、BizTalk Server で少なくとも 1 つの分離ホストを作成する必要があります。 分離ホストは、ISAPI 拡張プロセスや ASP.NET プロセスなどの、BizTalk Server で作成、コントロールしない外部プロセスといえます。 このような種類の外部プロセスは、HTTP/S や SOAP などの特定のアダプタをホストする必要があります。
BizTalk Server Configuration Managerは、BizTalk が既定の分離ホストとして使用する BizTalkServerIsolatedHost を作成します。 BizTalk 分離ホスト ユーザー グループは、このホストに関連付けられている既定の Windows グループ名です。 ホストとホスト インスタンスの詳細については、「 BizTalk ホストとホスト インスタンスの管理」を参照してください。
分離ホスト インスタンスは、1 つのアダプターでのみ実行できます。 1 つの分離ホストで HTTP アダプタと SOAP アダプタの受信ハンドラを構成する場合、2 つのアプリケーション プール (各アダプタに 1 つのアプリケーション プール) を作成する必要があります。
たとえば、次の 2 つの分離ホストを構成するとします。
| 分離ホスト名 | 受信場所 |
|---|---|
| 分離ホスト 1 | HTTP_ReceiveLocation1A HTTP_ReceiveLocation1B SOAP_ReceiveLocation1 注:分離ホスト 1 は、SOAP アダプターと HTTP アダプターの両方の受信ハンドラーに使用されます。 |
| 分離ホスト 2 | HTTP_ReceiveLocation2 |
仮想ディレクトリを 4 つ (次の受信場所ごとに 1 つ) 作成するとします。
| 受信場所 | 仮想ディレクトリ |
|---|---|
| HTTP_ReceiveLocation1A | IIS_Virtual_Directory1A |
| HTTP_ReceiveLocation1B | IIS_Virtual_Directory1B |
| SOAP_ReceiveLocation1 | IIS_Virtual_Directory1C |
| HTTP_ReceiveLocation2 | IIS_Virtual_Directory2 |
次のように、仮想ディレクトリに、少なくとも 3 つのアプリケーション プールを作成する必要があります。
Note
分離ホストごとに、少なくとも 1 つのアプリケーション プールを作成する必要があります。
| 仮想ディレクトリ | アプリケーション プール | 説明 |
|---|---|---|
| IIS_Virtual_Directory1A IIS_Virtual_Directory1B |
AppPool_Host1_HTTP | すべての受信場所で同じ分離ホスト (分離ホスト 1) と同じプロトコルを使用するため、個別のアプリケーション プールは不要です。 |
| IIS_Virtual_Directory1C | AppPool_Host1_SOAP | この受信場所で使用するプロトコル (SOAP) は、同じホスト (Isolated Host 1) の他の受信場所で使用するプロトコルと異なるため、個別のアプリケーション プールが必要です。 |
| IIS_Virtual_Directory2 | AppPool_Host2_HTTP | この受信場所は、Isolated Host 1 と異なるホストで実行されるため、個別のアプリケーション プールが必要です。 |
Note
アプリケーション プールのユーザー アカウントを、適切な分離ホストのローカル グループまたはドメイン グループに追加する必要があります。 詳細については、「BizTalk Serverの Windows グループとユーザー アカウント」を参照してください。
Note
前のテーブルに従って、分離されたホスト インスタンスと対応するアプリケーション プールの間でユーザー アカウントを照合する必要があります。 分離されたホスト インスタンスとアプリケーション プールのユーザー アカウント間の関係の詳細については、「 サービス アカウントとパスワードを変更する方法」を参照してください。
単一サーバー インストールでのデータベース アクセス
BizTalk Serverと BizTalk 管理データベースが同じサーバー上に存在する場合は、ASP.NET ワーカー プロセスまたは IIS アプリケーション プールのユーザー コンテキストをローカル ASPNET ユーザー アカウント、または最小限の特権を持つローカルまたはドメイン ユーザー アカウントに設定する必要があります。
複数サーバー インストールでのデータベース アクセス
BizTalk Serverで BizTalk 管理データベースが異なるサーバーに存在する場合は、ASP.NET ワーカー プロセスまたは IIS アプリケーション プールのユーザー コンテキストをドメイン ユーザー アカウントに変更する必要があります。
マルチサーバー展開を実装する場合は、BizTalk データベース サーバーが属するドメインに分離ホスト Windows グループが存在する必要があります。
アカウント特権とユーザー権限の最小化
分離ホストを使用すると、外部プロセスで実行するアダプタに、BizTalk Server との連携に必要な最小限のリソースへのアクセス権が付与されます。 セキュリティで保護された展開を行うために、外部プロセスのユーザー コンテキストに最小限の権限を付与します。
BizTalk Web サービス公開ウィザードのセキュリティに関する推奨事項
BizTalk Web サービス公開ウィザードで作成する仮想ディレクトリは、親仮想ディレクトリまたは Web サイトからアクセス制御リスト (ACL) および認証要件を継承します。 親仮想ディレクトリまたは Web サイトへの匿名アクセスが許可されている場合、仮想ディレクトリを作成するときに、BizTalk Web サービス公開ウィザードによってその機能は削除されます。
Windows のセキュリティに関する注意事項と推奨事項を次に示します。