Traccia attività relative alla protezione dei messaggi
Questo argomento descrive la traccia attività per l'elaborazione delle operazioni di sicurezza, che si articola nelle tre fasi seguenti:
Scambio negoziazione/SCT: questa fase può verificarsi a livello di trasporto (tramite lo scambio di dati binari) o a livello di messaggio (tramite lo scambio di messaggi SOAP).
Crittografia/decrittografia dei messaggi (con verifica della firma e autenticazione): le tracce vengono riportate nell'attività di ambiente, che in genere è l'attività ProcessAction.
Autorizzazione e verifica: questa fase può verificarsi localmente oppure durante la comunicazione tra endpoint.
Scambio negoziazione/SCT
Nella fase di scambio negoziazione/SCT vengono creati due tipi di attività nel client: "Configura sessione sicura" e "Chiudi sessione sicura". "Configura sessione sicura" include tracce per gli scambi di messaggi RST/RSTR/SCT, mentre "Chiudi sessione sicura" include tracce per il messaggio Annulla.
Nel server, ogni request/reply degli scambi RST/RSTR/SCT viene visualizzato nella propria attività. Se sia nel server sia nel client si specifica propagateActivity=true, le attività nel server presentano lo stesso ID e sono visualizzate insieme nell'attività di impostazione della sessione di sicurezza quando vengono visualizzate tramite il visualizzatore di tracce dei servizi.
Questo modello di traccia attività è valido per le autenticazioni basate su nome/password, certificato o NTLM.
Nella tabella seguente sono elencate le attività e le tracce relative allo scambio negoziazione/SCT.
| Livello | Contesto in cui si verifica lo scambio negoziazione/SCT | Attività | Tracce |
|---|---|---|---|
| Trasporto sicuro (HTTPS, SSL) | Alla ricezione del primo messaggio. | Le tracce vengono generate nell'attività di ambiente. | - Scambio di tracce - Creazione di un canale protetto - Ottenimento dei segreti di condivisione. |
| Livello messaggio sicuro (WSHTTP) | Alla ricezione del primo messaggio. | Nel client: Attività di "Impostazione della sessione di sicurezza" causata dall'attività "Azione di processo" di questo primo messaggio, per ogni request/reply degli scambi RST/RSTR/SCT. - "Chiudi sessione sicura" per lo scambio CANCEL, dall'attività "Chiudi proxy". Questa attività può essere causata da un'altra attività di ambiente, a seconda del momento di chiusura della sessione protetta. Nel server: - Un'unica attività di elaborazione dell'azione per ogni request/reply relativo agli scambi RST/SCT/Cancel nel server. Se si specifica propagateActivity=true, le attività degli scambi RST/RSTR/SCT vengono unite all'attività di impostazione della sessione di sicurezza mentre l'attività di annullamento viene unita all'attività di chiusura del client.L'attività di impostazione della sessione di sicurezza si articola in due fasi: 1. Negoziazione dell'autenticazione. questa fase è facoltativa se il client già dispone delle credenziali corrette. Questa fase può essere eseguita tramite un trasporto protetto o lo scambio di messaggi. Nel secondo caso è possibile che si verifichino 1 o 2 scambi RST/RSTR. Per questi scambi il sistema genera tracce in nuove attività di request/reply, come descritto in precedenza. 2. Creazione di una sessione protetta: in tale fase si verifica un unico scambio RST/RSTR. avente le stesse attività di ambiente descritte in precedenza. |
- Scambio di tracce - Creazione di un canale protetto - Ottenimento dei segreti di condivisione. |
Nota
In modalità di sicurezza mista, l'autenticazione di negoziazione si verifica in scambi binari. Tuttavia, lo scambio SCT si verifica tramite lo scambio di messaggi. Nella modalità di trasporto pure, la negoziazione si verifica solo nel trasporto senza alcuna attività aggiuntiva.
Crittografia e decrittografia dei messaggi
Nella tabella seguente sono elencate le attività e le tracce relative alla crittografia/decrittografia dei messaggi, nonché all'autenticazione della firma.
| Secure Transport Layer (HTTPS, SSL) e Secure Message Layer (WSHTTP) | |
|---|---|
| Ora in cui la crittografia e la decrittografia dei messaggi e l'autenticazione della firma vengono eseguite | Alla ricezione del messaggio |
| Impegni | Le tracce vengono generate nell'attività ProcessAction nel client e nel server. |
| Tracce | - sendSecurityHeader (mittente): - Firmare il messaggio - Crittografare i dati delle richieste receiveSecurityHeader (destinatario): - Verificare la firma - Decrittografare i dati di risposta - Autenticazione |
Nota
Nella modalità di trasporto pure, la crittografia/decrittografia dei messaggi si verifica solo nel trasporto senza alcuna attività aggiuntiva.
Autorizzazione e verifica
Nella tabella seguente sono elencate le attività e le tracce relative all'autorizzazione.
| Autorizzazione | Momento in cui si verifica l'autorizzazione | Attività | Tracce |
|---|---|---|---|
| Locale (impostazione predefinita) | Dopo che il messaggio è stato decrittografato nel server | Le tracce vengono generate nell'attività ProcessAction nel server. | Autorizzazione dell'utente. |
| Remoto | Dopo che il messaggio è stato decrittografato nel server | Le tracce vengono generate in una nuova attività richiamata dall'attività ProcessAction. | Autorizzazione dell'utente. |