Habilitación de servicios web
Para publicar servicios Web, debe configurar cuentas de grupos, de los Servicios de Internet Information Server (IIS), de hosts aislados de BizTalk y de usuarios de Windows. En esta sección se describe cómo habilitar servicios web en IIS. Para obtener más información acerca de cómo habilitar los servicios Web, consulte la documentación de IIS.
Internet Information Services
Puede publicar servicios web en sistemas Windows que tengan IIS configurado con ASP.NET. Para cada servidor, todos los servicios Web se ejecutan en el proceso de trabajo ASP.NET.
De forma predeterminada, el proceso de trabajo ASP.NET usa la cuenta local ASPNET. IIS usa grupos de aplicaciones para procesar solicitudes de servicio web.
Hosts aislados de BizTalk
Para habilitar los servicios Web, debe crear al menos un host aislado en BizTalk Server. Los hosts aislados representan procesos externos, como extensiones ISAPI y procesos ASP.NET que BizTalk Server no crea ni controla. Estos tipos de procesos externos deben alojar determinados adaptadores, como los de HTTP y SOAP.
El BizTalk Server Configuration Manager crea el BizTalkServerIsolatedHost que BizTalk usa como host aislado predeterminado. De forma predeterminada, el nombre del grupo de Windows asociado a este host es Usuarios de hosts aislados de BizTalk. Para obtener más información sobre hosts e instancias de host, vea Administración de hosts y instancias de host de BizTalk.
Una instancia de host aislado sólo puede ejecutar un adaptador. Si configura los controladores de recepción de los adaptadores HTTP y SOAP con un host aislado, debe crear dos grupos de aplicaciones, uno para cada adaptador.
Por ejemplo, si tiene intención de configurar dos hosts aislados de la siguiente manera:
| Nombre del host aislado | Ubicaciones de recepción |
|---|---|
| Host aislado 1 | HTTP_ReceiveLocation1A HTTP_ReceiveLocation1B SOAP_ReceiveLocation1 Nota: El host aislado 1 se usa para los controladores de recepción de adaptadores SOAP y HTTP. |
| Host aislado 2 | HTTP_ReceiveLocation2 |
Puede crear cuatro directorios virtuales, uno para cada ubicación de recepción, de la siguiente manera.
| Ubicación de la recepción | Directorio virtual |
|---|---|
| HTTP_ReceiveLocation1A | IIS_Virtual_Directory1A |
| HTTP_ReceiveLocation1B | IIS_Virtual_Directory1B |
| SOAP_ReceiveLocation1 | IIS_Virtual_Directory1C |
| HTTP_ReceiveLocation2 | IIS_Virtual_Directory2 |
A continuación, debe crear al menos tres grupos de aplicaciones para los directorios virtuales de la siguiente manera:
Nota
Debe crear al menos un grupo de aplicaciones para cada host aislado.
| Directorios virtuales | Grupo de aplicaciones | Descripción |
|---|---|---|
| IIS_Virtual_Directory1A IIS_Virtual_Directory1B |
AppPool_Host1_HTTP | No se requiere un grupo de aplicaciones independiente, ya que todas las ubicaciones de recepción tienen el mismo host aislado (host aislado 1) y el mismo protocolo. |
| IIS_Virtual_Directory1C | AppPool_Host1_SOAP | No se requiere un grupo de aplicaciones independiente, ya que la ubicación de recepción usa un protocolo diferente (SOAP) de otras ubicaciones de recepción del mismo host (host aislado 1). |
| IIS_Virtual_Directory2 | AppPool_Host2_HTTP | Se requiere un grupo de aplicaciones independiente, ya que la ubicación de recepción se ejecuta en un host distinto del host aislado 1. |
Nota
Debe agregar la cuenta de usuario para los grupos de aplicaciones a los grupos de dominio o locales correspondiente de los hosts aislados. Para obtener más información, vea Grupos de Windows y cuentas de usuario en BizTalk Server.
Nota
Debe coincidir con la cuenta de usuario entre una instancia de host aislada y el grupo de aplicaciones correspondiente según las tablas anteriores. Para obtener más información sobre la relación entre las cuentas de usuario de la instancia de host aislada y los grupos de aplicaciones, consulte Cambio de las cuentas de servicio y las contraseñas.
Acceso de base de datos para instalaciones de un solo servidor
Si BizTalk Server y la base de datos de administración de BizTalk residen en el mismo servidor, debe establecer el contexto de usuario del proceso de trabajo de ASP.NET o el grupo de aplicaciones de IIS en la cuenta de usuario de ASPNET local o en una cuenta de usuario local o de dominio que tenga privilegios mínimos.
Acceso de base de datos para varias instalaciones de servidor
Si BizTalk Server y la base de datos de administración de BizTalk residen en servidores diferentes, debe cambiar el contexto de usuario del proceso de trabajo de ASP.NET o el grupo de aplicaciones de IIS a una cuenta de usuario de dominio.
Al implementar una implementación de varios servidores, los grupos de Windows host aislados deben existir en el dominio al que pertenecen los servidores de bases de datos de BizTalk.
Minimizar privilegios de cuenta y derechos de usuario
Use hosts aislados para proporcionar a los adaptadores que se ejecutan en procesos externos acceso a la cantidad mínima de los recursos necesarios para interactuar con BizTalk Server. Para una implementación segura, debe proporcionar el contexto de usuario para los privilegios mínimos de procesos externos.
Recomendaciones de seguridad para el Asistente para publicar servicios Web de BizTalk
El directorio virtual creado por el Asistente para publicar servicios Web de BizTalk heredará las listas de control de acceso (ACL) y los requisitos de autenticación del directorio virtual principal o del sitio Web. Si el directorio virtual principal o el sitio Web permiten el acceso anónimo, el Asistente para publicar servicios Web de BizTalk quitará esa capacidad al crear el directorio virtual.
A continuación se incluyen notas de seguridad y recomendaciones para Windows.