Recomendaciones de seguridad de los adaptadores de WCF
BizTalk Server usa los adaptadores WCF para publicar (recibir) y consumir (enviar) servicios WCF. Se recomienda seguir estas directrices para proteger e implementar los adaptadores de WCF en el entorno.
Para obtener más información sobre los adaptadores WCF, vea Adaptadores de WCF. Para obtener más información sobre los servicios WCF, vea Using WCF Servicess.
Recomendaciones de seguridad para todos los adaptadores de WCF
Puede utilizar el inicio de sesión único (SSO) empresarial en aquellas situaciones en que tenga que asignar el contenido de un usuario cliente a las credenciales de un sistema de servidor.
No todos los servicios deben publicar metadatos. Deshabilitar la publicación de metadatos reduce la superficie de ataque de su servicio y disminuye el riesgo de divulgación involuntaria de información. Para obtener más información sobre los problemas de seguridad relacionados con los metadatos, vea "Consideraciones de seguridad con metadatos" en https://go.microsoft.com/fwlink/?LinkId=196671.
No todas las combinaciones de enlaces de extremo de metadatos y de enlaces de extremo de servicios son válidas. En algunos casos, las configuraciones de enlace de un extremo de metadatos deben coincidir con las configuraciones de enlace de su extremo de servicio. Por ejemplo, cuando los metadatos se sirven desde la misma ubicación que la ubicación de destino, el extremo de los metadatos no se puede configurar con un modo de seguridad que requiera transporte HTTP si la ubicación de recepción usa un modo de seguridad que se basa en HTTPS.
Nota
Al publicar metadatos a través del transporte HTTP para un punto de conexión de servicio con la misma ubicación, pero que requiere un modo de seguridad que se base en el transporte HTTPS, en el archivo Web.config que genera el Asistente para publicación de WCF de BizTalk, debe establecer los atributos httpsGetEnabled y httpGetEnabled en true.
Los adaptadores de WCF aprovechan las características de seguridad de Windows Communication Foundation (WCF) para comunicarse. Es importante entender las capacidades y limitaciones de WCF en lo que respecta a la seguridad. Para obtener más información sobre las características de seguridad de WCF, vea "Seguridad de Windows Communication Foundation" en https://go.microsoft.com/fwlink/?LinkId=87806.
Recomendaciones de seguridad para los adaptadores de WCF aislados
Para obtener recomendaciones de seguridad para publicar servicios web, consulte Habilitación de servicios web.
Los adaptadores WCF aislados, como WCF-CustomIsolated, WCF-BasicHttp y adaptadores de WCF-WSHttp aprovechan el Protocolo de transferencia de hipertexto (HTTP) para enviar y recibir mensajes hacia y desde BizTalk Server. Por lo tanto, debe seguir las recomendaciones de seguridad para proteger Internet Information Services (IIS).
Al crear un grupo de aplicaciones para una ubicación de recepción de WCF aislada, debe configurarlo para que se ejecute en una cuenta que sea miembro del grupo de Windows para el host aislado que ejecuta el adaptador de recepción de WCF y el grupo de procesos de trabajo de Internet Information Services (IIS_WPG grupo). A continuación, deberá configurar la instancia de host del adaptador de recepción WCF para que utilice esta cuenta. Si cambia la cuenta del grupo IIS_WPG, deberá asegurarse de actualizar también la instancia de host para que se ejecute en la nueva cuenta.
Recomendaciones de seguridad para el adaptador de WCF-Custom
- Si se produce un WCF-Custom ubicación de recepción para usar el controlador en modo kernel HTTP (HTTP.sys), como el elemento de enlace httpsTransport para las comunicaciones de Capa de sockets seguros (SSL), la ubicación de recepción debe tener un certificado registrado para cada socket (combinación de dirección IP/puerto). Utilice la herramienta HttpCfg.exe para enlazar un certificado SSL con un puerto en el equipo. Para obtener más información, vea "Cómo: Configurar un puerto con un certificado SSL" en https://go.microsoft.com/fwlink/?LinkId=86384.
Recomendaciones de seguridad para el adaptador de WCF-NetMsmq
- Para usar el adaptador de WCF-NetMsmq, debe configurar las opciones de seguridad de MSMQ para el adaptador de WCF-NetMsmq de la misma manera que para netMsmqBinding. Para obtener más información sobre cómo configurar las opciones de seguridad de MSMQ para netMsmqBinding, vea "Solución de problemas de mensajería en cola" en https://go.microsoft.com/fwlink/?LinkId=87816.
Los adaptadores de WCF usan el modo ChainTrust para validar certificados.
- Dado que los adaptadores de recepción de WCF estándar usan el modo ChainTrust para validar los certificados de cliente y servicio, debe instalar la cadena de certificados de CA para validar los certificados X.509. Puede usar el adaptador de WCF-Custom o de WCF-CustomIsolated para cambiar este comportamiento predeterminado.
Auditoría de seguridad de los adaptadores de WCF
Los adaptadores de WCF no utilizan las características de auditoría de seguridad de WCF de forma predeterminada. Hay diversos modos de habilitar las características de auditoría de seguridad de WCF para los adaptadores de WCF. Para obtener más información sobre las características de auditoría de seguridad de WCF, vea "Auditing Security Events" (Auditoría de eventos de seguridad) en https://go.microsoft.com/fwlink/?LinkId=88975.
Para usar las características de auditoría de seguridad de WCF con el adaptador de recepción WCF-Custom, puede configurar ServiceSecurityAuditBehavior para las ubicaciones de recepción.
Para los adaptadores de WCF de tipo En curso, puede habilitar los contadores de rendimiento a través del archivo BTSNTSvc.exe.config. Para los adaptadores WCF aislados, puede habilitar el seguimiento de WCF modificando el archivo Web.config que crea el Asistente para publicación de servicios WCF de BizTalk en la carpeta de la aplicación web. Para modificar los archivos BTSNtSvc.exe.config o Web.config, abra el archivo de configuración y, a continuación, configure el seguimiento de WCF, como se indica en el ejemplo de configuración siguiente:
Nota
El archivo BTSNTSvc.exe.config siempre se encuentra en el mismo directorio que el archivo BTSNTSvc.exe, que suele ser \Archivos de programa (x86)\Microsoft BizTalk Server <VERSION>.
Nota
Después de modificar el archivo BTSNTSvc.exe.config, debe reiniciar las instancias de host que ejecutan las ubicaciones de recepción WCF de tipo En curso.
<configuration> <system.serviceModel> <diagnostics performanceCounters="All" /> <behaviors> <serviceBehaviors> <behavior name="ServiceBehaviorConfiguration"> <serviceSecurityAudit auditLogLocation="Application" suppressAuditFailure="true" serviceAuthorizationAuditLevel="SuccessOrFailure" messageAuthenticationAuditLevel="SuccessOrFailure" /> </behavior> </serviceBehaviors> </behaviors> <services> <service name="Microsoft.BizTalk.Adapter.Wcf.Runtime.BizTalkServiceInstance" behaviorConfiguration="ServiceBehaviorConfiguration"> </service> </services> </system.serviceModel> </configuration>También se puede usar un contador de rendimiento relacionado con la seguridad, como las llamadas de seguridad no autorizadas, para supervisar los adaptadores de WCF. Para obtener más información sobre cómo habilitar los contadores de rendimiento de WCF, vea Contadores de rendimiento de adaptadores de WCF.