Recommandations de sécurité pour l’adaptateur SOAP

BizTalk Server utilise l’adaptateur SOAP pour publier (recevoir) et consommer (envoyer) des services Web. Pour plus d’informations sur l’adaptateur SOAP, consultez Adaptateur SOAP. Pour plus d’informations sur les services web, consultez Utilisation des services web. Il est vivement recommandé de respecter les informations suivantes pour la sécurisation et le déploiement de l'adaptateur SOAP dans votre environnement.

• Pour obtenir des recommandations de sécurité pour la publication de services Web, consultez Activation des services web.

• L'adaptateur SOAP a recours au protocole HTTP (Hypertext Transfer Protocol) pour envoyer des messages à BizTalk Server et en recevoir de BizTalk Server. Vous devez donc suivre les recommandations de sécurité pour sécuriser les services Internet (IIS). Si vous utilisez IIS 7.0, vérifiez que vous suivez les recommandations IIS 7.0 relatives à la configuration de l'isolement de l'application. Pour plus d’informations, consultez Créer un pool d’applications (IIS 7).

• Lorsque vous créez un pool d'applications pour un emplacement de réception SOAP, vous devez le configurer pour qu'il s'exécute sous un compte qui est membre du groupe Windows pour l'hôte isolé qui exécute l'adaptateur de réception SOAP, ainsi que du groupe Internet Information Services Worker Process (groupe IIS_WPG). Vous devez ensuite configurer l'instance d'hôte pour que l'adaptateur de réception SOAP puisse utiliser ce compte. Si vous modifiez le compte du groupe IIS_WPG, vous devez également mettre à jour le instance hôte pour qu’il s’exécute sous le nouveau compte.

• Lorsque vous utilisez des certificats du client SSL (Secure Sockets Layer) avec l'adaptateur d'envoi SOAP, vous devez les configurer manuellement.

• Lors de l'utilisation de services Web, vous pouvez utiliser l'authentification Anonyme, De base, Digest, Intégrée Windows ou des certificats du client. Lors de l'utilisation de services Web avec l'authentification de base, il est recommandé d'utiliser SSL pour s'assurer qu'aucune personne non autorisée ne puisse lire les informations d'identification de l'utilisateur dans le message.

• Vous pouvez utiliser l'authentification unique de l'entreprise (SSO) dans les scénarios où vous devez effectuer le mappage du contenu de l'utilisateur frontal vers les informations d'identification stockées dans le système principal. Pour plus d’informations, consultez Comment mapper des informations d’identification Sign-On uniques.

• Si vous utilisez l'authentification de base, ou si vous n'utilisez pas le chiffrement au niveau du message, il est recommandé d'utiliser SSL pour la réception et l'envoi des messages afin de s'assurer qu'aucune personne non autorisée ne puisse lire les informations d'identification de l'utilisateur.

• Il est conseillé d'utiliser l'authentification intégrée Windows aussi bien pour l'envoi que pour la réception des messages.

• L’ordinateur exécutant l’adaptateur SOAP a également le BizTalk Server runtime. Il est déconseillé de placer l'adaptateur SOAP dans le réseau de périmètre. Si vous le faites, vous devez ouvrir des ports du réseau de périmètre vers le domaine de données pour SQL Server trafic vers la base de données MessageBox, et vous exposez le BizTalk Server runtime à des attaques potentielles. Il est conseillé de configurer l'adaptateur SOAP dans le domaine de traitement (et non dans le réseau de périmètre). Vous pouvez configurer le pare-feu le plus externe pour qu'il achemine les demandes SOAP via le pare-feu du domaine de traitement. Ce mécanisme s'appelle proxy inverse. (L'implémentation du serveur Forefront Threat Management Gateway [TMG] 2010 est appelée Publication sur le Web.)

Voir aussi

Ports pour les droits utilisateur minimum de sécurité des serveurs de réception et d’envoi