Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Découvrez les meilleures pratiques, les recommandations de sécurité et les améliorations de l’adaptateur FTP.
Meilleures pratiques
Supprimez régulièrement les fichiers partiellement reçus du dossier temporaire pour empêcher les fichiers d’utiliser des ressources informatiques et potentiellement perturber le service.
Lorsque vous utilisez un serveur de diffusion en continu, refusez l’accès en lecture au nouveau fichier jusqu’à ce que la base de données MessageBox reçoive l’intégralité du fichier. Si un fichier partiel est envoyé à la base de données MessageBox par l’adaptateur FTP, la base de données MessageBox stocke correctement le message, mais l’adaptateur FTP ne peut pas supprimer le message partiel de l’emplacement de réception.
Pour garantir la haute disponibilité du gestionnaire de réception de l’adaptateur FTP, le gestionnaire de réception de l’adaptateur FTP doit être configuré pour s’exécuter dans une instance d’hôte BizTalk en cluster. Pour plus d’informations, consultez Considérations relatives au fonctionnement des gestionnaires d’adaptateurs au sein d’un hôte clustérisé.
Recommandations et conseils de sécurité
BizTalk Server peut recevoir des fichiers d’un serveur FTP (File Transfer Protocol) et envoyer des fichiers à un serveur FTP pour d’autres applications. BizTalk Server ne fait pas office de serveur FTP.
FTP est, par nature, non sécurisé : le nom d’utilisateur, le mot de passe et d’autres informations d’identification parcourent le réseau en texte clair. De même, les fichiers chargés ou téléchargés se déplacent en texte clair et peuvent être facilement affichés ou falsifiés en cours de route. En outre, un attaquant peut usurper le serveur FTP lui-même, connu sous le nom d’attaque de serveur non autorisé. Dans ce cas, vous ne pouvez pas indiquer si un serveur FTP particulier est en effet l’ordinateur avec lequel vous avez l’intention de communiquer.
Pour résoudre ces problèmes, l’adaptateur FTP prend en charge le protocole SSL/TLS qui garantit la confidentialité des données par le biais du chiffrement.
Pour connaître les considérations générales relatives à la sécurité lorsque vous utilisez le protocole FTP, consultez les archives faq Sur Internet (https://go.microsoft.com/fwlink/p/?LinkId=24779).
Nous vous recommandons d’utiliser les instructions suivantes pour sécuriser et déployer l’adaptateur FTP dans votre environnement :
Sécurisez votre serveur et limitez l’accès aux données. Étant donné que le protocole FTP n’est pas un protocole sécurisé, il sera toujours vulnérable. Vous pouvez vous assurer que le serveur FTP est sécurisé à l’aide d’une connexion dédiée, et limiter le serveur et la connexion entre BizTalk Server et l’hôte FTP. Vous pouvez également définir les stratégies de sécurité du serveur FTP pour autoriser les connexions sécurisées avec le client FTP.
Configurez l’adaptateur FTP pour utiliser le protocole SSL (Secure Sockets Layer) pour la communication entre l’adaptateur et le serveur FTP. Le protocole SSL garantit la confidentialité des données par le biais du chiffrement. Cela signifie que les ID utilisateur et les mots de passe sont chiffrés et non envoyés en texte brut. Avec l’adaptateur FTP, vous avez également le choix de chiffrer le canal de données de la connexion FTP. Consultez Améliorations (dans cette rubrique).
Pour obtenir un transfert de fichiers sécurisé, configurez les propriétés spécifiques au protocole SSL fournies par l’adaptateur FTP. Consultez Améliorations (dans cette rubrique).
L’adaptateur FTP prend en charge ftp Request for Comments (RFC) 959. Consultez le World Wide Web Consortium (W3C) (https://go.microsoft.com/fwlink/p/?LinkId=24781). L’adaptateur FTP ne prend pas en charge le protocole SFTP (Secure FTP). Consultez l’adaptateur SFTP.
Vous pouvez utiliser l’adaptateur FTP entre les pare-feu. Selon le type de pare-feu que vous utilisez, vous devrez peut-être configurer une ou plusieurs des propriétés de pare-feu suivantes : nom d’utilisateur, mot de passe, ordinateur, port, type de pare-feu (aucun, chaussettes 4, chaussettes 5) et mode.
Nous vous recommandons de placer le serveur FTP distant dans un emplacement sécurisé. Vous devez garantir la sécurité physique et réseau de ce serveur pour réduire les attaques de serveur non autorisés.
L’adaptateur FTP prend en charge l’utilisation de l’authentification unique Entreprise (Sign-On SSO). Consultez Implémentation de l’authentification unique Entreprise.
Par défaut, l’adaptateur de réception FTP doit disposer d’autorisations d’écriture sur le serveur FTP, car l’adaptateur supprime le fichier du serveur après le téléchargement. Toutefois, l’adaptateur FTP prend en charge le téléchargement de fichiers à partir d’emplacements en lecture seule. Consultez Améliorations (dans cette rubrique).
Lorsque vous utilisez un port d’envoi FTP, vous devez spécifier et stocker une combinaison d’ID utilisateur et de mot de passe lors de la configuration du port d’envoi. L’adaptateur utilise ces informations pour se connecter au serveur FTP. Les informations d’identification de l’utilisateur sont stockées dans une base de données SQL Server en texte brut. Dans un port d’envoi dynamique, les informations d’identification sont envoyées au serveur FTP. Si les exigences de l’environnement de production justifient une sécurité plus forte, utilisez des informations d’identification anonymes sur le serveur.
Lorsque le système vous invite à entrer un compte, nous vous recommandons d’entrer un compte d’utilisateur existant, et non le compte système local. Cela vous permet d’implémenter une meilleure sécurité et permet à l’adaptateur de s’exécuter en mode sans assistance, sans vous connecter.
Améliorations
Transfert de données vers et depuis un serveur FTP sécurisé
L’adaptateur FTP prend en charge les transferts de fichiers à partir d’un serveur FTPS via SSL (Secure Sockets Layer)/TLS (Transport Level Security). SSL/TLS garantit la confidentialité des données par le biais du chiffrement. Vous devez activer le mode sécurisé en configurant des propriétés spécifiques au protocole SSL fournies par l’adaptateur. Étant donné que l’adaptateur permet de lire et d’écrire des données à partir d’un serveur FTP sécurisé, les propriétés spécifiques au protocole SSL sont disponibles lors de la configuration des gestionnaires/ports d’envoi et également avec des gestionnaires/emplacements de réception.
À compter de BizTalk Server 2016, l’adaptateur FTP ne nécessite plus la commande SYST :
Propriété Type de serveur FTP : définissez cette propriété pour utiliser un serveur qui ne nécessite pas la commande SYST.
Les options suivantes sont disponibles pour configurer les propriétés spécifiques au protocole SSL :
Utilisez la propriété SSL : définissez cette propriété afin que l’adaptateur FTP puisse utiliser SSL pour chaque session de transfert.
Activer la propriété Protection des données : définissez cette propriété pour activer le chiffrement des données. Les stratégies de sécurité du serveur FTPS doivent autoriser les connexions SSL sécurisées avec l’adaptateur pour que ce paramètre fonctionne.
Propriété mode de connexion FTPS : définissez cette propriété pour déterminer quand la sécurité est activée :
En mode implicite , la sécurité est automatiquement activée dès que l’adaptateur se connecte au serveur.
En mode explicite , l’adaptateur envoie une commande pour lancer un canal de contrôle sécurisé.
Remarque
L’adaptateur FTP ne prend pas en charge les vérifications de révocation sur les certificats de serveur.
Prise en charge du téléchargement de fichiers à partir d’emplacements marqués en lecture seule
L’adaptateur FTP prend en charge le téléchargement de fichiers à partir d’emplacements de fichiers en lecture seule. L’adaptateur gère désormais une liste de fichiers téléchargés dans une base de données. Pour le téléchargement suivant, la liste des fichiers sur le serveur FTP est comparée à la liste des fichiers gérés par l’adaptateur, et seuls les nouveaux fichiers sur le serveur sont téléchargés. Pour prendre en charge les scénarios où un fichier existant est mis à jour entre deux téléchargements, vous pouvez configurer l’adaptateur pour vérifier également les horodatages de fichier en définissant la propriété Activer la comparaison d’horodatages pour l’emplacement de réception FTP. Dans ce cas, même si le nom de fichier est identique, mais que l’horodatage est mis à jour, l’adaptateur télécharge le fichier.
Parfois, le serveur FTP ne prend pas en charge l’association d’un horodatage modifié à un fichier. Dans ce cas, l’adaptateur vous permet de spécifier un intervalle après lequel le fichier sera à nouveau téléchargé. Vous configurez cet intervalle en définissant la propriété Redownload Interval pour l’emplacement de réception FTP.
Le tableau suivant répertorie le comportement attendu de l’adaptateur FTP pour différentes valeurs définies pour les propriétés Delete After Download, Enable Timestamp Comparison and Redownload Interval .
| Supprimer après le téléchargement | Activer la comparaison d’horodatages | Intervalle de retéléchargement | Comportement de l’adaptateur |
|---|---|---|---|
| Oui | Sans objet | Sans objet | L’adaptateur supprime un fichier du serveur FTP après le téléchargement. Il s’agit du comportement par défaut de l’adaptateur. |
| Non | Oui | Sans objet | L’adaptateur ne supprime pas un fichier du serveur FTP après le téléchargement. Au lieu de cela, l’adaptateur compare l’horodatage de dernière modification du fichier à l’aide de la commande MDTM. Selon l’horodatage, l’adaptateur télécharge à nouveau le fichier. |
| Non | Non | Applicable | L’adaptateur FTP télécharge un fichier à partir du serveur FTP après l’intervalle que vous spécifiez, que le fichier ait été modifié ou non. |
Prise en charge du transfert de fichiers atomiques en mode ASCII
L’adaptateur FTP prend en charge le transfert de fichiers atomiques pour le mode ASCII. Pour activer le transfert de fichiers atomiques en mode ASCII, l’adaptateur utilise la propriété Dossier temporaire . Cette propriété définit un emplacement temporaire sur le serveur FTP vers lequel le fichier est d’abord déplacé. Une fois le fichier complètement transféré à l’emplacement temporaire, le fichier est ensuite déplacé vers l’emplacement approprié sur le serveur FTP. Ici, l’hypothèse est que le transfert de fichiers est atomique entre l’emplacement temporaire et l’emplacement approprié sur le serveur FTP.
Remarque
L’extension de l’utilisation du dossier temporaire au fichier ASCII s’applique uniquement à l’envoi et ne s’applique pas à la réception. La principale raison de l’implémentation de cette fonctionnalité est qu’une application tierce ne lit pas un fichier tant qu’elle n’est pas entièrement écrite. Dans le cas de BizTalk recevant le fichier, l’adaptateur envoie le fichier à BizTalk uniquement une fois qu’il est entièrement lu.
Remarque
En mode binaire, la propriété Dossier temporaire peut également être utilisée pour reprendre le transfert de fichiers en cas de défaillance entre les deux. Cela n’est pas applicable au mode ASCII. Pour le mode ASCII, la propriété Dossier temporaire est utilisée uniquement pour le transfert de fichiers atomiques.
Suivant
Configuration de l’adaptateur FTP
Voir aussi
Ports pour les serveurs de réception et d'envoiDroits utilisateur de sécurité minimum