Teilen über


Sicherheitsempfehlungen für den SOAP-Adapter

BizTalk Server verwendet den SOAP-Adapter zum Veröffentlichen (Empfangen) und Nutzen (Senden) von Webdiensten. Weitere Informationen zum SOAP-Adapter finden Sie unter SOAP-Adapter. Weitere Informationen zu Webdiensten finden Sie unter Verwenden von Webdiensten. Sie sollten die folgenden Empfehlungen für das Sichern und Bereitstellen des SOAP-Adapters in Ihrer Umgebung beachten.

  • Sicherheitsempfehlungen für die Veröffentlichung von Webdiensten finden Sie unter Aktivieren von Webdiensten.

  • Der SOAP-Adapter nutzt HTTP (Hypertext Transfer Protocol) zum Senden und Empfangen von Nachrichten an und von BizTalk Server. Aus diesem Grund müssen Sie die Sicherheitsempfehlungen zum Sichern der Internetinformationsdienste (Internet Information Services, IIS) befolgen. Wenn Sie IIS 7.0 verwenden, stellen Sie sicher, dass die IIS 7.0-Empfehlungen zum Konfigurieren von Anwendungsisolierung befolgt werden. Weitere Informationen finden Sie unter Erstellen eines Anwendungspools (IIS 7).

  • Wenn Sie einen Anwendungspool für einen SOAP-Empfangsspeicherort erstellen, müssen Sie ihn für die Ausführung unter einem Konto konfigurieren, das Mitglied der Windows-Gruppe für den isolierten Host mit dem SOAP-Empfangsadaper sowie der IIS-Arbeitsprozessgruppe (Gruppe IIS_WPG) ist. Anschließend müssen Sie die Hostinstanz für den SOAP-Empfangsadapter zur Verwendung dieses Kontos konfigurieren. Wenn Sie das Konto für die Gruppe IIS_WPG ändern, müssen Sie auch die Hostinstanz aktualisieren, damit sie unter dem neuen Konto ausgeführt wird.

  • Wenn Sie SSL-Clientzertifikate (Secure Sockets Layer) beim SOAP-Sendeadapter verwenden, müssen Sie diese Zertifikate manuell konfigurieren.

  • Bei Ausführung von Webdiensten können Sie anonyme Authentifizierung, Standardauthentifizierung, Digestauthentifizierung, integrierte Windows-Authentifizierung oder aber Authentifizierung mit Clientzertifikaten verwenden. Bei der Ausführung von Webdiensten mit Standardauthentifizierung wird empfohlen, dass Sie SSL verwenden, um zu verhindern, dass nicht autorisierte Personen die Benutzeranmeldeinformationen in der Nachricht lesen.

  • Sie können Einmaliges Anmelden für Unternehmen (SSO) in Szenarien verwenden, in denen Sie den Inhalt des Front-End-Benutzers den Anmeldeinformationen in einem Back-End-System zuordnen müssen. Weitere Informationen finden Sie unter Zuordnen von Anmeldeinformationen für einzelne Sign-On.

  • Wenn Standardauthentifizierung oder keine Verschlüsselung auf Nachrichtenebene verwendet wird, wird empfohlen, SSL zum Empfangen und Senden von Nachrichten zu verwenden, um zu verhindern, dass nicht autorisierte Personen die Benutzeranmeldeinformationen lesen.

  • Es wird empfohlen, die integrierte Windows-Authentifizierung sowohl zum Senden als auch zum Empfangen von Nachrichten zu verwenden.

  • Der Computer, auf dem der SOAP-Adapter ausgeführt wird, verfügt auch über die BizTalk Server Runtime. Es wird empfohlen, den SOAP-Adapter nicht im Umkreisnetzwerk zu installieren. Wenn Sie dies tun, müssen Sie Ports aus dem Umkreisnetzwerk zur Datendomäne öffnen, um datenverkehrsfrei zur MessageBox-Datenbank zu SQL Server, und Sie setzen die BizTalk Server Runtime potenziellen Angriffen aus. Es wird empfohlen, den SOAP-Adapter in der verarbeitenden Domäne (d. h. nicht im Umkreisnetzwerk) zu konfigurieren. Anschließend können Sie die äußerste Firewall zum Weiterleiten von SOAP-Anforderungen über die Firewall in die verarbeitende Domäne konfigurieren. Dieser Mechanismus wird als „Reverseproxy“ bezeichnet. (Die Forefront Threat Management Gateway (TMG) Server 2010-Implementierung heißt Webveröffentlichung.)

Weitere Informationen

Ports für die Empfangs- und Sendeserver– Mindestsicherheitsbenutzerrechte