Freigeben über


Authentifizierung eingehender Nachrichten

BizTalk Server kann den Absender einer Nachricht (entweder anhand der Zertifikatinformationen oder der integrierten Windows-Sicherheit) authentifizieren, um dessen Identität zu überprüfen. Die folgende Abbildung zeigt die Sicherheitsfeatures in BizTalk Server, die Sie zum Authentifizieren eingehender Nachrichten verwenden können.

Sicherheitsfeatures zur Authentifizierung eingehender Nachrichten
Sicherheitsfunktionen, die BizTalk Server zum Authentifizieren eingehender Nachrichten verwendet

Wenn BizTalk Server eine verschlüsselte und signierte Nachricht empfängt, führt es die folgenden Schritte aus, um sicherzustellen, dass die sendende Partei erkannt wird.

  1. Wenn eine Nachricht an einem BizTalk Server-Empfangsspeicherort eintrifft, versucht der Empfangshandler, vom sendenden Prozess die Windows-Sicherheits-ID (SSID) des Absenders zu erhalten. Der Empfangsspeicherort übergibt die SSID downstream, um Fälle zu unterstützen, in denen der Listener eine signierte Nachricht bereits authentifiziert hat. Wenn clientseitige Zertifikatinformationen abgerufen werden können (z. B. durch BizTalk-Message Queuing oder den HTTP-Adapter), kann der BizTalk Server-Empfangsspeicherort diese Informationen abrufen und für spätere Parteiauflösung in der Empfangspipeline weitergeben. Wenn der Empfangshandler die SSID nicht abrufen kann, bleibt dieses Feld leer.

    Der Empfangshandler sendet die Nachricht an die Empfangspipeline. Dort wird die Nachricht entschlüsselt, die digitale Signatur wird überprüft, und die Parteiauflösung erfolgt, wenn die Pipeline eine entsprechende Komponente enthält. Falls der Absender ein Signaturzertifikat für die eingehende Nachricht verwendet, überschreibt die MIME/SMIME-Decoderkomponente alle vom Adapter erhaltenen Zertifikatinformationen.

  2. Wenn der Absender die Nachricht verschlüsselt hat, ruft der MIME/SMIME-Decoder das Entschlüssselungszertifikat aus dem persönlichen Zertifikatspeicher für das Dienstkonto der Hostinstanz ab und verwendet den privaten Schlüssel zum Entschlüsseln der Nachricht.

    Wenn der Absender die Nachricht signiert hat, authentifiziert der MIME/SMIME-Decoder die digitale Signatur, indem er den Nutzlasthash auf Anzeichen einer Verfälschung überprüft und dann das Zertifikat aus dem Zertifikatspeicher abruft, um die Signatur zu überprüfen. Wenn sich der öffentliche Schlüssel der signierenden Person in der Nachricht selbst befindet, ruft der MIME/SMIME-Decoder das Zertifikat nicht aus dem Zertifikatspeicher ab, sondern verwendet den mit der Nachricht empfangenen öffentlichen Schlüssel.

  3. Normalerweise ist der abschließende Verarbeitungsschritt in der Pipeline die Parteiauflösung. Mithilfe des BizTalk-Explorers oder über die BizTalk Server-Verwaltungskonsole können Sie Parteien erstellen, die Partei einem Signaturzertifikat zuordnen oder Parteialiase erstellen. Alle im BizTalk-Explorer definierten Parteien verfügen über eine eindeutige Parteikennung (Party Identifier, PID). BizTalk Server empfängt die PID und fügt sie in den Nachrichtenkontext ein. BizTalk ruft die PID mithilfe einer der folgenden Methoden ab:

    1. Wenn der Absender die Nachricht signiert hat oder wenn der Empfangshandler ein clientseitiges Zertifikat abrufen konnte und Sie die Option zum Auflösen der Partei anhand des Zertifikats ausgewählt haben, verwendet BizTalk die entsprechende Signatur bzw. das entsprechende clientseitige Zertifikat zum Nachschlagen der PID. Sie müssen die Partei mit dem Zertifikat als Eigenschaft konfigurieren, bevor Sie den Empfang von Parteinachrichten starten. Weitere Informationen zum Konfigurieren der Partei finden Sie unter Verwenden von Zertifikaten für die Parteienauflösung.

    2. Wenn der Absender kein Signaturzertifikat für die Nachricht verwendet hat und Sie die Option zum Auflösen der Partei anhand der Sicherheits-ID des Absenders (SSID) ausgewählt haben, verwendet die Parteiauflösungskomponente die SSID zum Nachschlagen der PID. Sie müssen die Partei so konfigurieren, dass sie SSID als Alias verwendet, bevor Sie den Empfang von Parteinachrichten starten. Weitere Informationen zur Parteiauflösungskomponente finden Sie unter Party Resolution Pipeline Component.For more information about the party resolution component, see Party Resolution Pipeline Component.

      Hinweis

      BizTalk Server verwendet beim Definieren von Aliasen für Parteien den Kontonamen statt der tatsächlichen Windows-SID.

    3. Wenn die Partei nicht aufgelöst werden kann, legt die Pipeline die PID auf Gast fest.

  4. Falls Sie den Empfangsport als Authentifizierung erforderlich gekennzeichnet haben und BizTalk Server eine gültige PID erhalten und sie in eine bekannte Partei aufgelöst hat, wird die Nachricht in die Warteschlange der MessageBox-Datenbank eingereiht. Ist die SSID leer oder die PID eine Gast-ID, verwirft BizTalk Server die Nachricht oder sendet sie an die angehaltene Warteschlange (je nach der Konfiguration der Eigenschaft Authentifizierung erforderlich). Sie können die Eigenschaft Authentifizierung erforderlich als eine Möglichkeit zum Minimieren der negativen Auswirkung verwenden, die sich aus dem Empfang einer großen Menge von Nachrichten von einer unbekannten Partei ergibt. Weitere Informationen zu den Authentifizierungsoptionen für Empfangsports finden Sie unter Konfigurieren von Authentifizierungsoptionen für einen Empfangsport.

Weitere Informationen

Authentifizierung von Nachrichten zwischen Prozessen
Schutz ausgehender Nachrichten
Authentifizierung des Absenders einer Nachricht
Autorisieren des Empfängers einer Nachricht
Konfigurieren von BizTalk Server zum Empfangen von signierten Nachrichten
Zertifikate, die von BizTalk Server für signierte Nachrichten verwendet werden