FTP アダプターのベスト プラクティス、セキュリティに関する推奨事項、および機能強化について説明します。
ベスト プラクティス
一時フォルダーから部分的に受信したファイルを定期的に削除して、ファイルがコンピューター リソースを使用しないようにし、サービスを中断させる可能性があります。
ストリーミング サーバーを使用する場合は、メッセージ ボックス データベースがファイル全体を受信するまで、新しいファイルへの読み取りアクセスを拒否します。 FTP アダプターによって部分的なファイルがメッセージ ボックス データベースに送信された場合、メッセージ ボックス データベースはメッセージを正常に格納しますが、FTP アダプターは受信場所から部分的なメッセージを削除できません。
FTP アダプター受信ハンドラーの高可用性を確保するには、クラスター化された BizTalk ホスト インスタンスで実行するように FTP アダプター受信ハンドラーを構成する必要があります。 詳細については、 クラスター化されたホスト内でアダプター ハンドラーを実行するための考慮事項を参照してください。
セキュリティに関する推奨事項とヒント
BizTalk Server は、ファイル転送プロトコル (FTP) サーバーからファイルを受信し、他のアプリケーションの FTP サーバーにファイルを送信できます。 BizTalk Server は FTP サーバーとして機能しません。
FTP は、本質的に安全ではありません。ユーザー名、パスワード、およびその他の資格情報は、クリア テキストでネットワークを通過します。 同様に、アップロードまたはダウンロードされたファイルはクリア テキストで移動し、途中で簡単に表示または改ざんできます。 さらに、攻撃者は、不正なサーバー攻撃と呼ばれる FTP サーバー自体のスプーフィングを行う可能性があります。 この場合、特定の FTP サーバーが実際に通信を意図したコンピューターであるかどうかを確認することはできません。
これらの問題を解決するために、FTP アダプターは、暗号化によるデータの機密性を確保する SSL/TLS プロトコルをサポートしています。
FTP プロトコルを使用する場合の一般的なセキュリティに関する考慮事項については、 インターネット FAQ アーカイブ (https://go.microsoft.com/fwlink/p/?LinkId=24779) を参照してください。
FTP アダプターをセキュリティで保護し、環境内に展開するには、次のガイドラインを使用することをお勧めします。
サーバーをセキュリティで保護し、データへのアクセスを制限します。 FTP プロトコルはセキュリティで保護されたプロトコルではないため、常に脆弱になります。 専用接続を使用し、サーバーと BizTalk Server と FTP ホスト間の接続を制限することで、FTP サーバーがセキュリティで保護されていることを確認できます。 FTP クライアントとのセキュリティで保護された接続を許可するように、FTP サーバーのセキュリティ ポリシーを設定することもできます。
アダプターと FTP サーバー間の通信に Secure Sockets Layer (SSL) プロトコルを使用するように FTP アダプターを構成します。 SSL プロトコルを使用すると、暗号化によってデータの機密性が確保されます。 つまり、ユーザー ID とパスワードは暗号化され、プレーン テキストとして送信されません。 FTP アダプターでは、FTP 接続のデータ チャネルを暗号化することもできます。 拡張機能(このトピック内)を参照してください。
安全なファイル転送を実現するには、FTP アダプターによって提供される SSL 固有のプロパティを構成します。 拡張機能(このトピックの)を参照してください。
FTP アダプターは、FTP Request for Comments (RFC) 959 をサポートしています。 World Wide Web Consortium (W3C) (https://go.microsoft.com/fwlink/p/?LinkId=24781) を参照してください。 FTP アダプターは、Secure FTP (SFTP) プロトコルをサポートしていません。 SFTP アダプターを参照してください。
ファイアウォール間で FTP アダプターを使用できます。 使用するファイアウォールの種類によっては、ユーザー名、パスワード、コンピューター、ポート、ファイアウォールの種類 (なし、ソックス 4、ソックス 5)、モードの 1 つ以上のファイアウォール プロパティを構成する必要があります。
リモート FTP サーバーは安全な場所に配置することをお勧めします。 悪意のあるサーバー攻撃を最小限に抑えるには、このサーバーの物理的およびネットワークのセキュリティを確保する必要があります。
FTP アダプターでは、Enterprise Single Sign-On (SSO) の使用がサポートされています。 Enterprise シングル サインオンの実装を参照してください。
既定では、FTP 受信アダプターは、ダウンロード後にサーバーからファイルを削除するため、FTP サーバーで書き込みアクセス許可を持っている必要があります。 ただし、FTP アダプターでは、読み取り専用の場所からのファイルのダウンロードがサポートされています。 拡張機能 (このトピックの) を参照してください。
FTP 送信ポートを使用する場合は、送信ポートを構成するときに、ユーザー ID とパスワードの組み合わせを指定して格納する必要があります。 アダプターはこの情報を使用して FTP サーバーに接続します。 ユーザー資格情報は、プレーン テキストで SQL Server データベースに格納されます。 動的送信ポートでは、資格情報が FTP サーバーに送信されます。 運用環境の要件によりセキュリティが強化される場合は、サーバーに対して匿名の資格情報を使用します。
システムからアカウントの入力を求められたら、ローカル システム アカウントではなく、既存のユーザー アカウントを入力することをお勧めします。 これにより、より優れたセキュリティを実装でき、ログオンせずにアダプターを無人モードで実行できます。
[拡張]
セキュリティで保護された FTP サーバーとの間でデータを転送する
FTP アダプターは、SECURE Sockets Layer (SSL)/トランスポート レベル セキュリティ (TLS) 経由の FTPS サーバーからのファイル転送をサポートします。 SSL/TLS を使用すると、暗号化によってデータの機密性が確保されます。 アダプターによって提供される SSL 固有のプロパティを構成して、セキュア モードを有効にする必要があります。 アダプターは、セキュリティで保護された FTP サーバーからのデータの読み取りと書き込みの両方を可能にするため、送信ハンドラー/ポートを構成するときに、および受信ハンドラー/場所を使用して SSL 固有のプロパティを使用できます。
BizTalk Server 2016 以降では、FTP アダプターに SYST コマンドは必要なくなりました。
FTP サーバーの種類 プロパティ – SYST コマンドを必要としないサーバーを使用するには、このプロパティを設定します。
SSL 固有のプロパティを構成するには、次のオプションを使用できます。
SSL プロパティを使用する – FTP アダプターが転送セッションごとに SSL を使用するように、このプロパティを設定します。
[データ保護の有効化 ] プロパティ – データ暗号化を有効にするには、このプロパティを設定します。 FTPS サーバーのセキュリティ ポリシーは、この設定を機能させるために、アダプターとのセキュリティで保護された SSL 接続を許可する必要があります。
FTPS 接続モード プロパティ – セキュリティがアクティブ化されるタイミングを決定するには、このプロパティを設定します。
暗黙的モードでは、アダプターがサーバーに接続するとすぐに、セキュリティが自動的に有効になります。
明示的モードでは、アダプターは、セキュリティで保護された制御チャネルを開始するコマンドを送信します。
注
FTP アダプターは、サーバー証明書の失効チェックをサポートしていません。
読み取り専用としてマークされた場所からファイルをダウンロードするためのサポート
FTP アダプターは、読み取り専用ファイルの場所からのファイルのダウンロードをサポートします。 アダプターは、ダウンロードしたファイルの一覧をデータベースに保持するようになりました。 次のダウンロードでは、FTP サーバー上のファイルの一覧がアダプターによって管理されているファイルの一覧と比較され、サーバー上の新しいファイルのみがダウンロードされます。 2 つのダウンロードの間で既存のファイルが更新されるシナリオをサポートするには、FTP 受信場所の タイムスタンプ比較を有効にする プロパティを設定して、ファイルのタイムスタンプも確認するようにアダプターを構成できます。 このような場合、ファイル名が同じでもタイムスタンプが更新された場合でも、アダプターはファイルをダウンロードします。
FTP サーバーで、変更されたタイムスタンプとファイルの関連付けをサポートしていない場合があります。 このような場合、アダプターを使用すると、ファイルを再度ダウンロードする間隔を指定できます。 この間隔を構成するには、FTP 受信場所の [間隔の再ダウンロード ] プロパティを設定します。
次の表は、[ ダウンロード後の削除]、[ タイムスタンプ比較の有効化] 、および [ 間隔の再ダウンロード ] プロパティに設定されたさまざまな値に対する FTP アダプターの予期される動作の一覧です。
ダウンロード後に削除する | タイムスタンプ比較を有効にする | 再ダウンロード間隔 | アダプターの動作 |
---|---|---|---|
イエス | 適用なし | 適用なし | アダプターは、ダウンロード後に FTP サーバーからファイルを削除します。 これは、アダプターの既定の動作です。 |
いいえ | イエス | 適用なし | アダプターは、ダウンロード後に FTP サーバーからファイルを削除しません。 代わりに、アダプターは MDTM コマンドを使用して、ファイルの最後に変更されたタイムスタンプを比較します。 タイムスタンプに応じて、アダプターはファイルをもう一度ダウンロードします。 |
いいえ | いいえ | 適用可能 | FTP アダプターは、ファイルが変更されたかどうかに関係なく、指定した間隔の後に FTP サーバーからファイルをダウンロードします。 |
ASCII モードでのアトミック ファイル転送のサポート
FTP アダプターは、ASCII モードのアトミック ファイル転送をサポートします。 ASCII モードでアトミック ファイル転送を有効にするには、アダプターで 一時フォルダー プロパティを使用します。 このプロパティは、ファイルが最初に移動される FTP サーバー上の一時的な場所を定義します。 ファイルが一時的な場所に完全に転送されると、ファイルは FTP サーバー上の関連する場所に移動されます。 ここでは、ファイル転送が一時的な場所と FTP サーバー上の関連する場所の間でアトミックであることを前提とします。
注
ASCII ファイルに一時フォルダーを使用する拡張機能は 、Send にのみ適用され、 Receive には適用されません。 この機能を実装する主な理由は、サード パーティのアプリケーションが完全に書き込まれるまでファイルを読み取らないということです。 BizTalk がファイルを受信する場合、アダプターは完全に読み取られた後にのみ、ファイルを BizTalk に送信します。
注
バイナリ モードでは、 一時フォルダー プロパティを使用して、間に障害が発生した場合にファイル転送を再開することもできます。 これは ASCII モードには適用されません。 ASCII モードの場合、 一時フォルダー プロパティはアトミック ファイル転送にのみ使用されます。