Recommandations de sécurité pour l’adaptateur HTTP
Vous utilisez l’adaptateur HTTP pour échanger des informations entre BizTalk Server et une application au moyen du protocole HTTP (Hypertext Transfer Protocol). Les applications peuvent envoyer des messages à un serveur en envoyant des requêtes HTTP POST ou HTTP GET à une adresse URL HTTP spécifiée. Pour plus d’informations sur l’adaptateur HTTP, consultez Adaptateur HTTP. Il est recommandé d'utiliser les instructions suivantes pour sécuriser et déployer l'adaptateur HTTP dans votre environnement :
Assurez-vous de configurer les paramètres IIS pour l'adaptateur HTTP. Pour plus d’informations, consultez Comment configurer IIS pour un emplacement de réception HTTP.
Si vous utilisez la version 7.0, veillez à suivre les recommandations IIS 7.0 pour la configuration de l’isolation des applications.
Lorsque vous utilisez l'authentification de base, ou lorsque vous n'utilisez pas le chiffrement au niveau du message, il est fortement conseillé d'utiliser SSL pour envoyer et recevoir des messages afin de vous assurer qu'aucune personne non autorisée ne puisse détecter vos informations d'identification.
Il est conseillé d'utiliser l'authentification intégrée Windows aussi bien pour l'envoi que pour la réception des messages.
Il est recommandé de ne pas renommer, copier ou déplacer le fichier d'extension ISAPI. Cela garantit que les programmes d'installation de mise à jour de sécurité peuvent correctement appliquer des mises à jour de sécurité potentielles pertinentes pour ce fichier.
Vous devez utiliser des listes de contrôle d'accès discrétionnaire (DACL) renforcées pour le répertoire contenant le fichier d'extension ISAPI et pour le répertoire virtuel que vous créez pour la réception des messages. Les membres du groupe d'hôtes BizTalk isolés pour l'hôte exécutant l'adaptateur HTTP ont besoin d'autorisations de lecture et d'exécution, et les utilisateurs que l'adaptateur HTTP authentifie ont besoin d'autorisations de lecture sur ces répertoires.
Lorsque vous utilisez des certificats clients SSL avec l'adaptateur d'envoi HTTP, vous devez configurer manuellement ces certificats.
Tout comme d’autres composants BizTalk Server, il est recommandé de ne pas placer l’adaptateur HTTP dans le réseau de périmètre. Si vous le faites, vous devez ouvrir des ports du réseau de périmètre aux domaines de données pour le trafic SQL Server vers la base de données MessageBox, sujette aux risques. Il est recommandé de configurer l'adaptateur HTTP dans le domaine de traitement (c'est-à-dire, pas le réseau de périmètre). Vous pouvez également configurer le pare-feu extérieur (FW4) pour transférer les requêtes HTTP via le pare-feu au sein du domaine de traitement (FW3). Dans ce cas, vous n'avez pas besoin d'IIS dans le réseau de périmètre. Ce mécanisme s'appelle proxy inverse. (L'implémentation du serveur Forefront Threat Management Gateway [TMG] 2010 est appelée Publication sur le Web.)
Lorsque vous créez un pool d'applications pour un emplacement de réception HTTP, vous devez le configurer pour qu'il soit exécuté sous un compte membre du groupe Windows pour l'hôte isolé exécutant l'adaptateur de réception HTTP, ainsi que du groupe Internet Information Services Worker Process (IIS_WPG). Vous devez ensuite utiliser la console Administration BizTalk Server pour configurer l’instance hôte de l’adaptateur de réception HTTP afin d’utiliser ce compte. Si vous modifiez le compte du groupe IIS_WPG, vous devez également mettre à jour le instance hôte pour qu’il s’exécute sous le nouveau compte. Pour plus d’informations, consultez Comment configurer IIS pour un emplacement de réception HTTP.
Voir aussi
Ports pour les serveurs de réception et d’envoi
Autorisations de sécurité minimales
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour