Recomendaciones de seguridad del adaptador de SOAP
BizTalk Server se sirve del adaptador de SOAP para publicar (recibir) y consumir (enviar) servicios Web. Para obtener más información sobre el adaptador SOAP, vea Adaptador de SOAP. Para obtener más información sobre los servicios web, vea Uso de servicios web. Se recomienda seguir estas directrices para proteger e implementar el adaptador de SOAP en su entorno.
Para obtener recomendaciones de seguridad para publicar servicios web, consulte Habilitación de servicios web.
El adaptador de SOAP aprovecha el Protocolo de transferencia de hipertexto (HTTP) para enviar y recibir mensajes desde y hacia BizTalk Server. Por lo tanto, debe seguir las recomendaciones de seguridad para proteger Internet Information Services (IIS). Si usa IIS 7.0, asegúrese de seguir las recomendaciones de IIS 7.0 para configurar el aislamiento de aplicaciones. Para obtener más información, consulte Creación de un grupo de aplicaciones (IIS 7).
Al crear un grupo de aplicaciones para una ubicación de recepción de SOAP, deberá configurarlo de modo que se ejecute en una cuenta que sea miembro del grupo de Windows del host aislado en que se ejecuta el adaptador de recepción SOAP, y miembro del grupo de proceso de trabajo de Servicios de Internet Information Server (IIS_WPG). A continuación, deberá configurar la instancia de host del adaptador de recepción SOAP para que utilice esta cuenta. Si cambia la cuenta del grupo de IIS_WPG, debe asegurarse de que también actualice la instancia de host para que se ejecute en la nueva cuenta.
Si se utilizan certificados de cliente de Capa de sockets seguros (SSL) con el adaptador de envío SOAP, los certificados deberán configurarse manualmente.
Al consumir servicios Web, puede utilizar certificados anónimos, básicos, implícitos, integrados de Windows o cliente para la autenticación. Al consumir servicios Web con autenticación básica, se recomienda utilizar SSL para asegurarse de que las personas no autorizadas no puedan leer las credenciales de usuario del mensaje.
Puede utilizar el inicio de sesión único (SSO) empresarial en aquellas situaciones en que tenga que asignar el contenido de un usuario cliente a las credenciales de un sistema de servidor. Para obtener más información, vea Asignación de credenciales de Sign-On únicas.
Cuando se usa la autenticación básica o cuando no se usa el cifrado en el nivel de mensaje, se recomienda usar SSL para recibir y enviar mensajes para asegurarse de que una persona no autorizada no pueda leer las credenciales de usuario.
Se recomienda utilizar la autenticación integrada de Windows para enviar y recibir mensajes.
El equipo que ejecuta el adaptador de SOAP también incluye el tiempo de ejecución de BizTalk Server. Se recomienda no ubicar el adaptador de SOAP en la red perimetral. De hacerlo, tendría que abrir puertos desde la red perimetral hasta el dominio de datos para el tráfico desde SQL Server hasta la base de datos de cuadro de mensajes. De este modo, el tiempo de ejecución de BizTalk Server quedaría expuesto a posibles ataques. Se recomienda configurar el adaptador de SOAP en el dominio de procesamiento (no en la red perimetral). Entonces podrá configurar el servidor de seguridad externo para que reenvíe las solicitudes de SOAP a través del servidor de seguridad del dominio de procesamiento. Este mecanismo recibe el nombre de proxy inverso. (La implementación del servidor Forefront Threat Management Gateway (TMG) 2010 se denomina Publicación en Web).
Consulte también
Puertos para los derechos mínimos de usuario de seguridad de recepción y envío de servidores
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de