Autenticación del remitente de un mensaje.
Microsoft BizTalk Server usa diferentes mecanismos para comprobar que una parte es quien afirma ser o que un proceso es lo que dice ser. Además, el usuario puede especificar si el proceso puede retransmitir a BizTalk Server quién es el remitente original del mensaje y si BizTalk Server reconoce a esa entidad como socio.
La siguiente ilustración muestra las características de seguridad de BizTalk Server que le permiten autenticar y autorizar al remitente de un mensaje.
Las características de seguridad que BizTalk Server utiliza para autenticar y autorizar el envío de un mensaje
Estas son las características que le permiten autenticar al remitente de un mensaje:
Validación de firma digital. Si el mensaje tiene una firma digital, BizTalk Server la utiliza para comprobar la identidad del remitente. Para obtener más información sobre cómo configurar la validación de firmas digitales, vea Cómo configurar BizTalk Server para recibir mensajes firmados.
Resolución de entidades. Todos los mensajes insertados en la base de datos de cuadro de mensajes, procedan o no de BizTalk Server, llevan un Id. de entidad (PID) que se determina mediante la asignación de un certificado digital o de una cuenta de Windows a un PID. Para obtener más información sobre cómo configurar el componente de resolución de entidad, vea Usar certificados para la resolución de entidades.
Se necesita autenticación. Si el puerto de recepción no puede determinar el remitente del mensaje, un host de BizTalk puede aceptarlo como un mensaje "de invitado" o simplemente ignorarlo. Esta característica le permite proteger su sistema de ataques de denegación de servicio, ya que los mensajes de entidades desconocidas no se procesarán ni se almacenarán en la base de datos de seguimiento. Para obtener más información sobre las opciones de autenticación para los puertos de recepción, consulte Configuración de opciones de autenticación para un puerto de recepción.
Autenticación de confianza. Si la base de datos de cuadro de mensajes recibe un mensaje de un host que no se ha identificado como con autenticación de confianza, dicha base de datos sobrescribirá el PID con el Id. de invitado y el SSID con la cuenta de servicio en la que se ejecuta la instancia del host. BizTalk Server permite que un host identificado como con autenticación de confianza indique que el remitente de un mensaje que dicho host está agregando a la cola de la base de datos de cuadro de mensajes es una entidad distinta del host de confianza mismo. Los fines principales de la autenticación de confianza son permitir que las canalizaciones resuelvan en un PID y pasen éste a servicios de consumo para su uso en la autorización y la resolución de entidades salientes, y permitir la transmisión del Id. de seguridad de Windows del remitente (SSID) a los servicios de consumo para su uso en la autorización de acciones de orquestación. Para obtener más información sobre el host de confianza de autenticación, consulte Modificación de las propiedades del host. Para obtener más información sobre cómo usar BizTalk Server orquestaciones junto con la resolución de entidad, vea PartyResolution (BizTalk Server Sample).
Puede utilizar algunas de las características mostradas en la ilustración o todas ellas, dependiendo de si necesita saber quién le envió el mensaje, cuál es su remitente original, o quién es el destinatario o el lector de su mensaje.
Si sus socios necesitan saber con seguridad que los mensajes proceden de usted y que nadie más puede leerlos mientras se encuentran en tránsito, le convendrá usar las siguientes técnicas para garantizar que sólo los destinatarios especificados y las aplicaciones especificadas reciben los mensajes:
Utilice firmas digitales para mensajes salientes a fin de que su socio pueda comprobar que usted es el remitente.
Cifre los mensajes salientes para garantizar que ninguna persona no autorizada pueda verlos mientras están en tránsito.
Si es importante determinar quién envió un mensaje a su empresa y garantizar que nadie más pueda leerlo mientras se encuentra en tránsito, le convendrá usar las siguientes técnicas para garantizar que sólo los destinatarios especificados y las aplicaciones especificadas reciben los mensajes:
Asegúrese de que BizTalk Server sólo acepta mensajes con firma digital para saber quién envió el mensaje.
Asegúrese de enviar a sus socios el certificado de clave pública para que cifren los mensajes que envían a BizTalk Server. Con el cifrado puede garantizar que ninguna persona no autorizada vea el mensaje mientras se encuentra en tránsito.
Use la propiedad de autenticación necesaria en el puerto de recepción para asegurarse de que el mensaje es de una entidad conocida.
Si el mensaje es procesado por más de un host, puede haber dudas sobre su remitente original. En los casos en los que debe conocer la identidad del remitente original, por ejemplo, al conceder acceso para enviar o recibir un mensaje, BizTalk Server proporciona un mecanismo de seguridad para propagar la identidad del remitente original a través de muchos hosts para validar el acceso a los hosts de bajada en función de esa identidad. En BizTalk Server este proceso se llama Autenticación de confianza. Para obtener más información, vea Autenticación de mensajes entre procesos.