Condividi tramite

Suggerimenti per la sicurezza degli adapter WCF

  • Articolo

BizTalk Server usa gli adapter WCF per pubblicare (ricevere) e utilizzare i servizi WCF (invio). È consigliabile attenersi a queste linee guida per la protezione e la distribuzione degli adapter WCF nell'ambiente in uso.

Per altre informazioni sugli adapter WCF, vedere Adapter WCF. Per altre informazioni sui servizi WCF, vedere Uso di Servizi WCF.

Consigli per la sicurezza di tutti gli adapter WCF

  • È possibile utilizzare Enterprise Single Sign-On (SSO) negli scenari in cui è necessario mappare il contenuto dell'utente front-end alle credenziali in un sistema back-end.

  • Non tutti i servizi devono pubblicare metadati. Se si lascia disabilitata la pubblicazione dei metadati, si riduce la superficie di attacco del servizio e il rischio di diffusione non intenzionale di informazioni. Per altre informazioni sui problemi di sicurezza correlati ai metadati, vedere "Considerazioni sulla sicurezza con i metadati" all'indirizzo https://go.microsoft.com/fwlink/?LinkId=196671.

  • Non tutte le combinazioni di binding di endpoint di metadati e binding di endpoint di servizi sono valide. In alcuni casi è necessario che le configurazioni dei binding per un endpoint di metadati siano conformi alle configurazioni dei binding del relativo endpoint del servizio. Ad esempio, quando i metadati vengono forniti da una posizione corrispondente all'indirizzo di ricezione, non sarà possibile configurare l'endpoint dei metadati con una modalità di sicurezza che rende obbligatorio il trasporto HTTP se l'indirizzo di ricezione utilizza una modalità di sicurezza basata su HTTPS.

    Nota

    Quando si pubblicano metadati tramite il trasporto HTTP per un endpoint di servizio con la stessa posizione, ma che richiede una modalità di sicurezza basata sul trasporto HTTPS, nel file Web.config generato dalla Pubblicazione guidata WCF BizTalk, è necessario impostare entrambi gli attributi httpsGetEnabled e httpGetEnabled su true.

  • Per comunicare, gli adapter WCF sfruttano le funzionalità di sicurezza di Windows Communication Foundation (WCF). È importante comprendere le capacità e i limiti di WCF in termini di sicurezza. Per altre informazioni sulle funzionalità di sicurezza di WCF, vedere "Windows Communication Foundation Security" all'indirizzo https://go.microsoft.com/fwlink/?LinkId=87806.

Consigli per la sicurezza per gli adapter WCF isolati

  • Per consigli sulla sicurezza per la pubblicazione di servizi Web, vedere Abilitazione dei servizi Web.

  • Gli adattatori WCF isolati, ad esempio WCF-CustomIsolated, WCF-BasicHttp e WCF-WSHttp adapter sfruttano il protocollo HTTP (Hypertext Transfer Protocol) per inviare e ricevere messaggi da e verso BizTalk Server. È pertanto necessario attenersi ai consigli per la sicurezza relativi alla protezione di Internet Information Services (IIS).

  • Quando si crea un pool di applicazioni per un percorso di ricezione WCF isolato, è necessario configurarlo per l'esecuzione in un account membro del gruppo di Windows per l'host isolato che esegue l'adattatore di ricezione WCF e il gruppo processo di lavoro di Internet Information Services (gruppo IIS_WPG). È quindi necessario configurare l'istanza dell'host per l'adapter di ricezione WCF in modo che utilizzi tale account. Se si modifica l'account per il gruppo IIS_WPG, sarà necessario assicurarsi di aggiornare anche l'istanza dell'host, in modo che venga eseguita con il nuovo account.

Consigli per la sicurezza per l'adapter WCF-Custom

  • Se un percorso di ricezione WCF-Custom usa il driver in modalità kernel HTTP (HTTP.sys), ad esempio l'elemento di associazione httpsTransport per le comunicazioni SSL (Secure Sockets Layer), il percorso di ricezione deve avere un certificato registrato per ogni socket (combinazione di indirizzo IP/porta). Utilizzare lo strumento HttpCfg.exe per associare un certificato SSL a una porta nel computer. Per altre informazioni, vedere "Procedura: Configurare una porta con un certificato SSL" all'indirizzo https://go.microsoft.com/fwlink/?LinkId=86384.

Consigli per la sicurezza per l'adapter WCF-NetMsmq

  • Per usare l'adattatore WCF-NetMsmq, è necessario configurare le impostazioni di sicurezza MSMQ per l'adattatore WCF-NetMsmq allo stesso modo di netMsmqBinding. Per altre informazioni su come configurare le impostazioni di sicurezza MSMQ per netMsmqBinding, vedere "Risoluzione dei problemi relativi alla messaggistica in coda" all'indirizzo https://go.microsoft.com/fwlink/?LinkId=87816.

Gli adapter WCF utilizzano la modalità ChainTrust per la convalida dei certificati.

  • Poiché gli adattatori di ricezione WCF standard usano la modalità ChainTrust per convalidare i certificati client e di servizio, è necessario installare la catena di certificati CA per convalidare i certificati X.509. È possibile utilizzare gli adapter WCF-Custom o WCF-CustomIsolated per modificare questo comportamento predefinito.

Controllo della sicurezza per gli adapter WCF

  • Per impostazione predefinita, gli adapter WCF non utilizzano le funzionalità di controllo della sicurezza WCF. È possibile abilitare le funzionalità di controllo della sicurezza WCF per gli adapter WCF in diversi modi. Per altre informazioni sulle funzionalità di controllo della sicurezza WCF, vedere "Controllo degli eventi di sicurezza" all'indirizzo https://go.microsoft.com/fwlink/?LinkId=88975.

  • Per usare le funzionalità di controllo della sicurezza WCF con l'adattatore di ricezione WCF-Custom, è possibile configurare ServiceSecurityAuditBehavior per i percorsi di ricezione.

  • Per gli adapter WCF In-Process è possibile abilitare i contatori delle prestazioni mediante il file BTSNTSvc.exe.config. Per gli adapter WCF isolati è possibile abilitare l'analisi WCF modificando il file Web.config creato dalla Pubblicazione guidata servizio WCF BizTalk nella cartella dell'applicazione Web. Per modificare BTSNtSvc.exe.config o Web.config, aprire il file di configurazione e quindi configurare l'analisi WCF, come illustrato nell'esempio di configurazione seguente:

    Nota

    Il file BTSNTSvc.exe.config si trova sempre nella stessa directory del file BTSNTSvc.exe, che in genere è \Programmi (x86)\Microsoft BizTalk Server <VERSION>.

    Nota

    Dopo avere modificato il file BTSNTSvc.exe.config, è necessario riavviare le istanze dell'host che eseguono gli indirizzi di ricezione WCF In-process.

    <configuration>
    <system.serviceModel>
      <diagnostics performanceCounters="All" />
      <behaviors>
        <serviceBehaviors>
          <behavior name="ServiceBehaviorConfiguration">
            <serviceSecurityAudit
                      auditLogLocation="Application"
                      suppressAuditFailure="true"
                      serviceAuthorizationAuditLevel="SuccessOrFailure"
messageAuthenticationAuditLevel="SuccessOrFailure" />
          </behavior>
        </serviceBehaviors>
      </behaviors>
      <services>
        <service name="Microsoft.BizTalk.Adapter.Wcf.Runtime.BizTalkServiceInstance" behaviorConfiguration="ServiceBehaviorConfiguration">
        </service>
      </services>
    </system.serviceModel>
</configuration>

  • È inoltre possibile utilizzare un contatore di prestazioni correlato alla sicurezza, ad esempio Chiamate di sicurezza non autorizzate, per monitorare gli adapter WCF. Per altre informazioni su come abilitare i contatori delle prestazioni WCF, vedere Contatori delle prestazioni degli adapter WCF.

Vedere anche

Pianificazione della sicurezza