Compartir a través de

Autenticación de mensajes de entrada

  • Artículo

BizTalk Server puede autenticar el remitente de un mensaje (mediante la información de certificado o la seguridad integrada de Windows) para validar su identidad. En la ilustración siguiente se muestran las características de seguridad de BizTalk Server que puede usar para autenticar mensajes entrantes.

Características de seguridad que autentican mensajes entrantes
Características de seguridad usadas por BizTalk Server para autenticar mensajes entrantes.

Al recibir un mensaje cifrado y firmado, BizTalk Server realiza los pasos siguientes para asegurarse de que la entidad remitente es reconocida.

  1. Cuando un mensaje llega a una ubicación de recepción de BizTalk Server, el controlador de recepción intenta obtener el identificador de seguridad de Windows (SSID) de remitente del proceso remitente. La ubicación de recepción pasa el SSID a niveles inferiores para admitir casos en los que el agente de escucha ya haya autenticado un mensaje firmado. Si la información de certificado de cliente puede ser obtenida (por ejemplo por el adaptador de BizTalk para Message Queue o de HTTP), la ubicación de recepción de BizTalk Server puede obtenerla y pasarla para la resolución de su entidad más adelante en la canalización de recepción. Si el controlador de recepción no puede obtener el SSID, se deja este campo en blanco.

    El controlador de recepción envía el mensaje a la canalización de recepción, donde éste se descifra, se comprueba la firma digital y se realiza la resolución de entidad si la canalización tiene un componente de resolución de entidad. Si el remitente utilizó un certificado de firma en el mensaje entrante, a continuación el componente descodificador de MIME/SMIME sobrescribe cualquier información de certificado obtenida del adaptador.

  2. Si el remitente cifró el mensaje, el descodificador de MIME/SMIME recupera el certificado de descifrado del almacén de certificados personales para la cuenta de servicio de la instancia de host y utiliza la clave privada para descifrar el mensaje.

    Si el remitente firmó el mensaje, el descodificador de MIME/SMIME autentica la firma digital comprobando si hay signos de manipulación en el hash de carga y, a continuación, recuperando el certificado del almacén de certificados para comprobar la firma. Si la clave pública del firmante está en el mensaje, el descodificador de MIME/SMIME no recupera el certificado del almacén de certificados; en su lugar, utiliza la clave pública incluida con el mensaje.

  3. El paso de procesamiento final de la canalización suele ser la resolución de entidades. Puede usar el Explorador de BizTalk o la consola de administración de BizTalk Server para crear entidades, asignarles un certificado de firma o crear alias de entidad. Todas las partes que defina en el Explorador de BizTalk tienen un identificador único de entidad (PID). BizTalk Server obtiene el PID y lo pone en el contexto del mensaje. BizTalk obtiene el PID mediante uno de estos métodos:

    1. Si el remitente firmó el mensaje, si el controlador de recepción pudo obtener un certificado de cliente o si se seleccionó la opción de resolver la entidad con el certificado, BizTalk utiliza la firma o el certificado de cliente correspondientes para buscar el PID. Debe configurar la entidad con el certificado como una propiedad antes de comenzar a recibir sus mensajes. Para obtener más información sobre cómo configurar la entidad, vea Usar certificados para la resolución de entidades.

    2. Si el remitente no utilizó un certificado de firma en el mensaje y se ha seleccionado la opción de resolver la entidad utilizando el Id. de seguridad del remitente (SSID), el componente de resolución de entidades utiliza el SSID para buscar el PID. Debe configurar la entidad para que use el SSID como alias antes de comenzar a recibir sus mensajes. Para obtener más información sobre el componente de resolución de entidad, vea Componente de canalización de resolución de partes.

      Nota

      BizTalk Server usa el nombre de cuenta en lugar del SID de Windows real cuando define alias para entidades.

    3. Si no se puede resolver la entidad, la canalización establece el PID en Invitado.

  4. Si se marcó el puerto de recepción como de autenticación necesaria y BizTalk Server obtuvo un PID válido y lo resolvió como una entidad conocida, el mensaje se agrega a la cola de la base de datos de cuadro de mensajes. Si el SSID está en blanco o el PID es un Id. de invitado, BizTalk Server descarta el mensaje o lo envía a la cola de suspensión (según la configuración de la propiedad de autenticación necesaria). Puede utilizar la propiedad de autenticación necesaria para minimizar el efecto negativo de recibir una gran cantidad de mensajes de una entidad desconocida. Para obtener más información sobre las opciones de autenticación para los puertos de recepción, consulte Configuración de opciones de autenticación para un puerto de recepción.

Consulte también

Autenticación de mensajes entre procesos
Protección de mensajes de salida
Autenticación del remitente de un mensaje.
Autorización del receptor de un mensaje
Cómo configurar BizTalk Server para la recepción de mensajes firmados
Certificados que se usan en BizTalk Server para mensajes firmados