Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft BizTalk Server usa diferentes mecanismos para comprobar que una entidad es quien dice ser o que un proceso es lo que dice ser. Además, puede especificar si el proceso puede retransmitir a BizTalk Server quién es el remitente original del mensaje y si BizTalk Server reconoce la entidad como asociado.
En la ilustración siguiente se muestran las características de seguridad de BizTalk Server que le permiten autenticar y autorizar al remitente de un mensaje.
Las características de seguridad que BizTalk Server usa para autenticar y autorizar el envío de un mensaje
Las características que permiten autenticar al remitente de un mensaje son:
Validación de firmas digitales. Si el mensaje tiene una firma digital, BizTalk Server lo usa para comprobar la identidad del remitente. Para obtener más información sobre cómo configurar la validación de firmas digitales, vea Cómo configurar BizTalk Server para recibir mensajes firmados.
Resolución del Partido. Todos los mensajes insertados en la base de datos MessageBox, ya sea que se originen dentro o fuera de BizTalk Server, llevan un ID de la entidad (PID) que se determina mediante la asignación de un certificado digital o de una cuenta de Windows a un PID. Para obtener más información sobre cómo configurar el componente de resolución de partes, vea Usar certificados para la resolución de partes.
Se requiere autenticación. Si el puerto de recepción no puede determinar el remitente del mensaje, un host de BizTalk puede aceptarlo como un mensaje "invitado" o ignorarlo por completo. Esta característica le permite proteger el sistema frente a ataques de denegación de servicio, ya que los mensajes de partes desconocidas no se procesarán ni almacenarán en la base de datos de seguimiento. Para obtener más información sobre las opciones de autenticación para los puertos de recepción, consulte Configuración de opciones de autenticación para un puerto de recepción.
Confianza de autenticación. Si la base de datos MessageBox recibe un mensaje de un host que no ha identificado como confiable para la autenticación, la base de datos MessageBox sobrescribirá el PID con el identificador de invitado y el SSID con la cuenta de servicio bajo la cual se ejecuta la instancia del host. BizTalk Server permite a los hosts identificados como de autenticación de confianza indicar que el remitente de un mensaje que el host de confianza está en cola hacia la base de datos MessageBox es una entidad distinta al propio host de confianza. Los principales propósitos de la confianza de autenticación son permitir que las canalizaciones se resuelvan a un PID y pasen ese PID a los servicios de consumo para su uso en la autorización y la resolución de partes salientes, y habilitar la transmisión del identificador de seguridad de Windows (SSID) del remitente a los servicios de consumo para su uso en la autorización de acciones de orquestación. Para obtener más información sobre el host de confianza de autenticación, vea Cómo modificar las propiedades del host. Para obtener más información sobre cómo usar orquestaciones de BizTalk Server junto con la resolución de partes, vea PartyResolution (ejemplo de BizTalk Server).
Dependiendo de si necesita saber de quién recibió este mensaje, el remitente original del mensaje, o el destinatario o visor del mensaje, puede usar algunas o todas las características que se muestran en la figura.
Si es importante que sus asociados sepan con certeza que los mensajes son de usted y que nadie más puede leerlos mientras están en tránsito, debe considerar el uso de las siguientes técnicas para ayudar a garantizar que solo los destinatarios y las aplicaciones de destinatarios especificados reciban los mensajes:
Use firmas digitales para los mensajes salientes para que el asociado pueda comprobar que es el remitente del mensaje.
Cifre los mensajes salientes para ayudar a garantizar que las partes no autorizadas no puedan ver el mensaje mientras está en tránsito.
Si es importante determinar quién envió un mensaje a su empresa y que nadie más lo leyó mientras estaba en tránsito, debe considerar el uso de las técnicas siguientes para ayudar a garantizar que solo los destinatarios y las aplicaciones de destinatarios especificados reciban los mensajes:
Asegúrese de que BizTalk Server solo acepta mensajes con firmas digitales para que sepa quién envió el mensaje.
Asegúrese de enviar a sus asociados el certificado de clave pública para cifrar los mensajes que envían a BizTalk Server. Mediante el cifrado, puede ayudar a garantizar que las partes no autorizadas no puedan ver el mensaje mientras está en tránsito.
Use la propiedad de autenticación necesaria en el puerto de recepción para asegurarse de que el mensaje procede de una entidad conocida.
Después de que más de un host procese el mensaje, es posible que no esté claro quién es el remitente original del mensaje. En los casos en los que debe conocer la identidad del remitente original, por ejemplo, al conceder acceso para enviar o recibir un mensaje, BizTalk Server proporciona un mecanismo de seguridad para propagar la identidad del remitente original a través de muchos hosts para validar el acceso a los hosts de bajada en función de esa identidad. En BizTalk Server, esto se denomina proceso de confianza de autenticación. Para obtener más información, vea Autenticación de mensajes entre procesos.