Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous utilisez l’adaptateur HTTP pour échanger des informations entre BizTalk Server et une application à l’aide du protocole HTTP (Hypertext Transfer Protocol). Les applications peuvent envoyer des messages à un serveur en envoyant des requêtes HTTP POST ou HTTP GET à une URL HTTP spécifiée. Pour plus d’informations sur l’adaptateur HTTP, consultez Adaptateur HTTP. Il est recommandé d’utiliser les instructions suivantes pour sécuriser et déployer l’adaptateur HTTP dans votre environnement :
Vérifiez que vous configurez les paramètres IIS (Internet Information Services) pour l’adaptateur HTTP. Pour plus d’informations, consultez Comment configurer IIS pour un emplacement de réception HTTP.
Si vous utilisez la version 7.0, veillez à suivre les recommandations IIS 7.0 pour configurer l’isolation des applications.
Lorsque vous utilisez l’authentification de base ou que vous n’utilisez pas le chiffrement au niveau du message, il est recommandé d’utiliser ssl (Secure Sockets Layer) pour recevoir et envoyer des messages afin de s’assurer qu’une personne non autorisée ne peut pas reniffer les informations d’identification de l’utilisateur.
Il est recommandé d’utiliser l’authentification intégrée Windows pour l’envoi et la réception de messages.
Il est recommandé de ne pas renommer, copier ou déplacer le fichier d’extension ISAPI. Cela garantit que les programmes d’installation des mises à jour de sécurité peuvent appliquer correctement les mises à jour de sécurité potentielles pertinentes à ce fichier.
Vous devez utiliser des listes de contrôle d’accès discrétionnaires (DACL) fortes pour le répertoire contenant le fichier d’extension ISAPI et pour le répertoire virtuel que vous créez pour recevoir des messages. Les membres du groupe hôte isolé BizTalk pour l’hôte exécutant l’adaptateur HTTP ont besoin d’autorisations de lecture et d’exécution, et les utilisateurs authentifiés par l’adaptateur HTTP ont besoin d’autorisations de lecture sur ces répertoires.
Lorsque vous utilisez des certificats clients SSL avec l’adaptateur d’envoi HTTP, vous devez configurer manuellement ces certificats.
Tout comme les autres composants BizTalk Server, il est recommandé de ne pas placer l'adaptateur HTTP dans le réseau de périmètre. Si vous le faites, vous devez ouvrir des ports du réseau de périmètre vers le domaine de données pour le trafic SQL Server vers la base de données MessageBox, qui est sujette aux risques. Il est recommandé de configurer l'adaptateur HTTP dans le domaine de traitement, c'est-à-dire ne pas le configurer dans le réseau de périmètre. Vous pouvez ensuite configurer le plus grand pare-feu (FW4) pour transférer des requêtes HTTP via le pare-feu dans le domaine de traitement (FW3). Dans ce cas, vous n’avez pas besoin d’IIS dans le réseau de périmètre. Ce mécanisme est appelé proxy inverse. (L’implémentation du serveur TMG (Forefront Threat Management Gateway) 2010 est appelée Publication web.)
Lorsque vous créez un pool d’applications pour un emplacement de réception HTTP, vous devez le configurer pour qu’il s’exécute sous un compte membre du groupe Windows pour l’hôte isolé exécutant l’adaptateur de réception HTTP et le groupe processus worker des services Internet (groupe IIS_WPG). Vous devez ensuite utiliser la console Administration de BizTalk Server pour configurer l’instance hôte de l’adaptateur de réception HTTP pour utiliser ce compte. Si vous modifiez le compte du groupe IIS_WPG, vous devez vous assurer que vous mettez également à jour l’instance hôte pour qu’elle s’exécute sous le nouveau compte. Pour plus d’informations, consultez Comment configurer IIS pour un emplacement de réception HTTP.
Voir aussi
Ports pour les serveurs de réception et d’envoi
Droits d’utilisateur de sécurité minimum