Procedure consigliate e consigli per l'adapter FTP
Leggere le procedure consigliate, le raccomandazioni sulla sicurezza e i miglioramenti per l'adapter FTP.
Procedure consigliate
Eliminare con regolarità dalla cartella temporanea i file ricevuti parzialmente in modo che non utilizzino risorse del computer e non possano quindi compromettere l'esecuzione del servizio.
Quando si utilizza un server di flusso, negare l'accesso in lettura al nuovo file finché il database MessageBox non riceve l'intero file. Se l'adapter FTP invia un file parziale al database MessageBox, il messaggio verrà memorizzato correttamente in tale database, ma l'adapter FTP non sarà in grado di eliminare il messaggio parziale dall'indirizzo di ricezione.
Per garantire una disponibilità elevata per il gestore di ricezione dell'adapter FTP, è consigliabile configurare tale gestore in modo che venga eseguito in un'istanza dell'host BizTalk in un cluster. Per altre informazioni, vedere Considerazioni per l'esecuzione dei gestori di adapter all'interno di un host cluster.
Consigli e suggerimenti sulla sicurezza
BizTalk Server può ricevere file da un server FTP (File Transfer Protocol) e inviare file a un server FTP per altre applicazioni. BizTalk Server non svolge il ruolo di server FTP.
FTP è, per natura, non sicuro: il nome utente, la password e altre credenziali attraversano la rete in testo chiaro. In modo analogo, i file caricati o scaricati vengono trasferiti in testo non crittografato e possono essere facilmente visualizzati o alterati lungo il percorso. L'autore di un attacco può inoltre effettuare lo spoofing del server FTP stesso, operazione nota come attacco da parte di server non autorizzato. In questo caso, non è possibile stabilire se un particolare server FTP è effettivamente il computer con cui si intendeva comunicare.
Per superare questi problemi, l'adattatore FTP supporta il protocollo SSL/TLS che garantisce la riservatezza dei dati tramite la crittografia.
Per considerazioni generali sulla sicurezza quando si usa il protocollo FTP, vedere Le domande frequenti su Internet (https://go.microsoft.com/fwlink/p/?LinkId=24779).
Per la sicurezza e la distribuzione dell'adapter FTP nell'ambiente in uso è consigliabile attenersi alle seguenti linee guida:
Proteggere il server e limitare l'accesso ai dati. Poiché il protocollo FTP non è un protocollo sicuro, sarà sempre vulnerabile. Per fare in modo che il server FTP sia sicuro, è possibile utilizzare una connessione dedicata e limitare il server e la connessione tra BizTalk Server e l'host FTP. È inoltre possibile impostare i criteri di sicurezza del server FTP in modo da consentire connessioni sicure con il client FTP.
Configurare l'adapter FTP affinché venga utilizzato il protocollo SSL (Secure Sockets Layer) per la comunicazione tra l'adapter e il server FTP. Il protocollo SSL garantisce la riservatezza dei dati mediante crittografia. Ciò significa che gli ID utente e le password vengono crittografati e non inviati come testo normale. Con l'adapter FTP è inoltre possibile scegliere di crittografare il canale dati della connessione FTP. Vedere Miglioramenti (in questo argomento).
Per ottenere il trasferimento sicuro dei file, configurare le proprietà specifiche di SSL fornite dall'adapter FTP. Vedere Miglioramenti (in questo argomento).
L'adapter FTP supporta la richiesta FTP per commenti (RFC) 959. Vedere World Wide Web Consortium (W3C) (https://go.microsoft.com/fwlink/p/?LinkId=24781). L'adapter FTP non supporta il protocollo Secure FTP (SFTP). Vedere l'adattatore SFTP.
È possibile utilizzare l'adapter FTP tra firewall. A seconda del tipo di firewall usato, potrebbe essere necessario configurare una o più delle seguenti proprietà del firewall: nome utente, password, computer, porta, tipo di firewall (nessuno, calzini 4, calzini 5) e modalità.
Si consiglia di posizionare il server FTP remoto in un luogo sicuro. È necessario garantire la sicurezza fisica e di rete del server per ridurre al minimo gli attacchi da parte di server non autorizzati.
L'adapter FTP supporta l'utilizzo di Enterprise Single Sign-On (SSO). Vedere Implementazione dell'accesso Single Sign-On enterprise.
Poiché l'adapter di ricezione FTP elimina i file dal server FTP dopo il download, per impostazione predefinita deve disporre delle autorizzazioni di scrittura nel server. Tuttavia, l'adapter FTP supporta il download di file da percorsi di sola lettura. Vedere Miglioramenti (in questo argomento).
Quando si utilizza una porta di trasmissione FTP, è necessario specificare e archiviare una combinazione di ID utente e password durante la configurazione di tale porta. Queste informazioni vengono utilizzate dall'adapter per connettersi al server FTP. Le credenziali utente vengono archiviate in un database di SQL Server in formato testo normale. In una porta di trasmissione dinamica le credenziali vengono inviate al server FTP. Se i requisiti dell'ambiente di produzione garantiscono una sicurezza più avanzata, utilizzare credenziali anonime per il server.
Quando il sistema richiede un account, è consigliabile immettere un account utente esistente e non l'account di sistema locale. In questo modo è possibile implementare un livello di sicurezza migliore, consentendo l'esecuzione dell'adapter in modalità automatica senza effettuare l'accesso.
Miglioramenti
Trasferimento di dati da e verso un server FTP sicuro
L'adapter FTP supporta i trasferimenti di file da un server FTPS tramite Secure Sockets Layer (SSL)/Transport Level Security (TLS). Il protocollo SSL/TLS garantisce la riservatezza dei dati tramite crittografia. È necessario abilitare la modalità protetta mediante la configurazione delle proprietà specifiche del protocollo SSL fornite dall'adapter. Poiché l'adapter consente sia la lettura che la scrittura dei dati da un server FTP protetto, le proprietà specifiche del protocollo SSL sono disponibili durante la configurazione dei gestori e delle porte di trasmissione e dei gestori e degli indirizzi di ricezione.
A partire da BizTalk Server 2016, l'adapter FTP non richiede più il comando SYST:
Proprietà Tipo server FTP: impostare questa proprietà per usare un server che non richiede il comando SYST.
Per configurare le proprietà specifiche del protocollo SSL, sono disponibili le opzioni seguenti:
Usare la proprietà SSL: impostare questa proprietà in modo che l'adapter FTP debba usare SSL per ogni sessione di trasferimento.
Abilitare la proprietà Protezione dati : impostare questa proprietà per attivare la crittografia dei dati. Affinché questa impostazione funzioni, i criteri di sicurezza del server FTPS devono consentire connessioni SSL sicure con l'adapter.
Proprietà Modalità connessione FTPS : impostare questa proprietà per determinare quando viene attivata la sicurezza:
In modalità implicita la sicurezza viene attivata automaticamente non appena la scheda si connette al server.
In modalità esplicita , l'adapter invia un comando per avviare un canale di controllo sicuro.
Nota
L'adapter FTP non supporta i controlli di revoche per certificati dei server.
Supporto per il download di file da indirizzi contrassegnati come di sola lettura
L'adapter FTP supporta il download di file da percorsi di file di sola lettura. gestisce un elenco di file scaricati in un database. Al download successivo, l'elenco di file sul server FTP viene confrontato con l'elenco di file gestito dall'adapter in modo da scaricare solo i nuovi file presenti sul server. Per supportare scenari in cui un file esistente viene aggiornato tra due download, è possibile configurare l'adapter per controllare anche i timestamp dei file impostando la proprietà Abilita confronto timestamp per il percorso di ricezione FTP. In questi casi, anche se il nome del file è lo stesso, ma il timestamp viene aggiornato, l'adapter scarica il file.
Talvolta il server FTP non supporta l'associazione di un timestamp modificato a un file. In tali casi, l'adapter consente all'utente di specificare un intervallo trascorso il quale il file verrà scaricato di nuovo. Si configura questo intervallo impostando la proprietà Intervallo di download per il percorso di ricezione FTP.
La tabella seguente elenca il comportamento previsto dell'adapter FTP per valori diversi impostati per le proprietà Delete After Download, Enable Timestamp Comparison e Redownload Interval .
| Elimina dopo il download | Abilita confronto timestamp | Intervallo di ripetizione download | Comportamento dell'adapter |
|---|---|---|---|
| Sì | Non applicabile | Non applicabile | L'adapter elimina un file dal server FTP dopo averlo scaricato. Si tratta del comportamento predefinito dell'adapter. |
| No | Sì | Non applicabile | L'adapter non elimina un file dal server FTP dopo averlo scaricato. Al contrario, l'adapter confronta l'ultimo timestamp modificato del file utilizzando il comando MDTM. In base al timestamp, l'adapter esegue di nuovo il download del file. |
| No | No | Applicabile | L'adapter FTP scarica un file dal server FTP dopo l'intervallo specificato, indipendentemente dal fatto che il file sia stato modificato o meno. |
Supporto per il trasferimento file atomico in modalità ASCII
L'adattatore FTP supporta il trasferimento di file atomico per la modalità ASCII. Per abilitare il trasferimento di file atomici per la modalità ASCII, l'adapter usa la proprietà Temporary Folder . Questa proprietà consente di definire un percorso temporaneo sul server FTP in cui il file viene inizialmente spostato. Dopo che il file è stato completamente trasferito nel percorso temporaneo, viene successivamente spostato nel percorso pertinente sul server FTP. Il presupposto è che il trasferimento file sia atomico tra il percorso temporaneo e il percorso pertinente sul server FTP.
Nota
L'estensione dell'uso di una cartella temporanea al file ASCII è applicabile solo per Send e non si applica a Receive. Questa funzionalità viene implementata principalmente perché un'applicazione di terze parti non è in grado di leggere un file finché non è scritto interamente. Se il file viene ricevuto da BizTalk, l'adapter invierà il file a BizTalk solo dopo che è stato letto interamente.
Nota
In modalità binaria, la proprietà Temporary Folder può essere usata anche per riprendere il trasferimento di file in caso di errore tra. Tale proprietà non è applicabile per la modalità ASCII. Per la modalità ASCII, la proprietà Temporary Folder viene utilizzata solo per il trasferimento di file atomici.
Prossima
Configurazione dell'adapter FTP
Vedere anche
Porte per i diritti utente di sicurezza minimiper i server di ricezione e invio