프로세스 간 메시지 인증
다음 그림은 서로 다른 BizTalk 호스트 간에 메시지를 인증할 수 있도록 하는 BizTalk Server의 보안 기능을 보여 줍니다.
메시지
BizTalk Server에서 프로세스 간에 메시지를 인증하는 데 사용하는 보안 기능
BizTalk Server가 메시지를 받아 메시지의 암호를 해독하고 유효성을 검사하여 메시지 보낸 사람을 식별할 유효한 PID(파티 ID) 및 인증서를 확보하고 나면 MessageBox 데이터베이스는 메시지와 일치하는 등록을 확인하고 이 메시지를 추가로 처리하기 위해 다른 호스트로 보낼 수 있습니다.
메시지가 프로세스 간을 이동할 때는 인증, Party resolution 및 보낸 사람과 관련된 비즈니스 논리를 위해 원래 메시지 보낸 사람의 ID를 다운스트림 프로세스로 전달해야 하는 경우가 많습니다. 그러나 특정 유형의 보안 또는 신뢰 메커니즘을 적용하지 않은 상태로 모든 호스트가 이 정보를 전달할 수 있도록 설정하면 모든 사용자 개체 및 코드(예: 오케스트레이션, 어댑터, 파이프라인 구성 요소, 펑토이드)의 신뢰 가능성 확인 필요성이 크게 높아집니다.
사용자 개체 및 코드의 신뢰 수준을 구분하는 방법을 제공하기 위해 BizTalk Server에서는 호스트 속성으로 인증 신뢰를 제공합니다. MessageBox 데이터베이스는 인증 신뢰 호스트로 설정되지 않은 호스트로부터 메시지를 받으면 PID를 게스트 ID로 덮어쓰고 SSID를 호스트 인스턴스 실행에 사용되는 서비스 계정으로 덮어씁니다. 호스트가 인증 신뢰로 표시되어 있으면 BizTalk에서는 해당 호스트가 MessageBox 데이터베이스의 큐에 넣는 메시지에 대해 SID(보낸 사람 ID) 및 PID(파티 ID)를 지정할 수 있도록 합니다.
신뢰할 수 있는 호스트와 그렇지 않은 호스트를 지정하면 사용자 개체 및 코드의 신뢰 여부가 결정되는 보안 경계를 정의할 수 있습니다. 즉, 인증 신뢰로 설정된 호스트로 배포되는 사용자 개체 및 코드는 인증 신뢰로 설정되지 않은 호스트로 배포되는 사용자 개체 및 코드에 비해 보다 신뢰성이 높아야 합니다. 인증 신뢰할 수 있는 호스트를 구성하는 방법에 대한 자세한 내용은 호스트 속성을 수정하는 방법을 참조하세요.
MessageBox 데이터베이스가 메시지를 받으면 BizTalk Server는 다음 단계를 수행하여 MessageBox 데이터베이스로 메시지를 보내는 호스트 인스턴스의 인증 신뢰를 적용합니다.
MessageBox 데이터베이스는 먼저 SSID가 신뢰할 수 있는 호스트의 호스트 인스턴스 서비스 SSID인지 확인하여 메시지를 보내는 호스트가 인증 신뢰 호스트로 설정되었는지 확인합니다.
MessageBox 데이터베이스로 메시지를 보내는 호스트가 인증 신뢰 호스트인 경우 MessageBox 데이터베이스는 메시지 컨텍스트의 SSID 및 PID가 비어 있지 않으면 그대로 둡니다. SSID가 비어 있는 경우 MessageBox 데이터베이스는 HSID(호스트 SID)라고도 하는 호출 프로세스의 SID로 SSID를 채웁니다. PID가 비어 있는 경우에는 PID가 게스트 ID로 설정됩니다.
MessageBox 데이터베이스로 메시지를 보내는 호스트가 인증 신뢰 호스트로 설정되지 않은 경우에는 SSID 및 PID 필드가 이미 채워졌는지에 관계없이 SSID는 HSID로 채워지고 PID는 게스트로 설정됩니다.
중요
다운스트림 프로세스에서 원래 메시지 보낸 사람의 SSID 및 PID를 확인할 수 있도록 하려면 메시지가 통과하는 모든 호스트를 인증 신뢰 호스트로 설정해야 합니다. 또한 메시지를 받은 후에 오케스트레이션에서 아웃바운드 메시지를 생성하는 데 사용하는 경우에는 아웃바운드 메시지에서 받은 SSID 및 PID를 속성으로 아웃바운드 메시지에 명시적으로 추가해야 이러한 ID가 전달됩니다.
중요
파이프라인이 인증 신뢰로 실행되는 호스트를 구성한 경우 BizTalk Server는 파이프라인을 신뢰할 수 있는 환경으로 간주합니다. 따라서 인증 신뢰 호스트에서 실행되는 BizTalk 파이프라인에 포함된 모든 사용자 지정 구성 요소도 신뢰할 수 있는지 반드시 확인해야 합니다.
참고
인증 신뢰 호스트와 그렇지 않은 호스트에 대해 같은 서비스 계정을 사용할 수는 없습니다.