WCF アダプターのセキュリティに関する推奨事項
BizTalk Serverでは、WCF アダプターを使用して WCF サービスを発行 (受信) および使用 (送信) します。 使用している環境内において WCF アダプターをセキュリティで保護して展開するには、次のガイドラインに従うことをお勧めします。
WCF アダプターの詳細については、「WCF アダプター」を参照してください。 WCF サービスの詳細については、「WCF サービスの使用」を参照してください。
すべての WCF アダプターのセキュリティに関する推奨事項
フロントエンド ユーザーのコンテンツをバックエンド システムの資格情報にマップする必要がある場合、エンタープライズ シングル サインオン (SSO) を使用できます。
メタデータを公開する必要のないサービスもあります。 メタデータの公開を無効のままにしておけば、攻撃者にとっては侵入経路が少ないことになり、したがって情報漏洩の危険を減らすことができます。 メタデータに関連するセキュリティの問題の詳細については、の「メタデータに関するセキュリティに関する考慮事項」 https://go.microsoft.com/fwlink/?LinkId=196671を参照してください。
メタデータ エンドポイントのバインドとサービス エンドポイントのバインドのすべての組み合わせが有効であるとは限りません。 メタデータ エンドポイントのバインド構成がサービス エンドポイントのバインド構成と一致する必要がある場合もあります。 たとえば、メタデータが受信場所と同じ場所から提供されていて、その受信場所が HTTPS に依存するセキュリティ モードを使用している場合、メタデータ エンドポイントは、HTTP トランスポートを必要とするセキュリティ モードで構成することができません。
Note
同じ場所にあるサービス エンドポイントの HTTP トランスポートを介してメタデータを発行するときに、HTTPS トランスポートに依存するセキュリティ モードが必要な場合は、BizTalk WCF 発行ウィザードによって生成される Web.config ファイルで、 httpsGetEnabled 属性と httpGetEnabled 属性の両方を true に設定する必要があります。
WCF アダプターは、Windows Communication Foundation (WCF) のセキュリティ機能を利用して通信します。 セキュリティの観点から WCF の機能と制限事項を理解しておく必要があります。 WCF のセキュリティ機能の詳細については、「Windows Communication Foundation Security」 https://go.microsoft.com/fwlink/?LinkId=87806を参照してください。
分離 WCF アダプターのセキュリティに関する推奨事項
Web サービスを発行するためのセキュリティに関する推奨事項については、「 Web サービスの有効化」を参照してください。
WCF-CustomIsolated、WCF-BasicHttp、WCF-WSHttp アダプターなどの分離 WCF アダプターは、ハイパーテキスト転送プロトコル (HTTP) を利用して、BizTalk Serverとの間でメッセージを送受信します。 そのため、インターネット インフォメーション サービス (IIS) をセキュリティで保護するためのセキュリティに関する推奨事項に従う必要があります。
分離された WCF 受信場所のアプリケーション プールを作成する場合は、WCF 受信アダプターとインターネット インフォメーション サービス ワーカー プロセス グループ (IIS_WPG グループ) を実行している分離ホストの Windows グループのメンバーであるアカウントで実行するように構成する必要があります。 その後、WCF 受信アダプターのホスト インスタンスを、このアカウントを使用するように構成してください。 IIS_WPG グループのアカウントを変更する場合は、新しいアカウントで実行するようにホスト インスタンスを更新する必要もあります。
WCF-Custom アダプターのセキュリティに関する推奨事項
- WCF-Custom 受信場所で、Secure Sockets Layer (SSL) 通信に httpsTransport バインド要素などの HTTP カーネルモード ドライバー (HTTP.sys) を使用する場合、受信場所には、ソケット (IP アドレス/ポートの組み合わせ) ごとに証明書が登録されている必要があります。 SSL 証明書をコンピューター上のポートにバインドするには、HttpCfg.exe ツールを使用します。 詳細については、「方法: SSL 証明書を使用してポートを構成する」を参照 https://go.microsoft.com/fwlink/?LinkId=86384してください。
WCF-NetMsmq アダプターのセキュリティに関する推奨事項
- WCF-NetMsmq アダプターを使用するには、 netMsmqBinding の場合と同じ方法で、WCF-NetMsmq アダプターの MSMQ セキュリティ設定を構成する必要があります。 netMsmqBinding の MSMQ セキュリティ設定を構成する方法の詳細については、「キューに登録されたメッセージングのトラブルシューティング」https://go.microsoft.com/fwlink/?LinkId=87816を参照してください。
WCF アダプターでの ChainTrust モードを使用した証明書の検証
- 標準の WCF 受信アダプターは ChainTrust モードを使用してクライアント証明書とサービス証明書を検証するため、CA 証明書チェーンをインストールして X.509 証明書を検証する必要があります。 WCF-Custom アダプターまたは WCF-CustomIsolated アダプターを使用すると、この既定の動作を変更できます。
WCF アダプターのセキュリティ監査
既定では、WCF アダプターは WCF セキュリティ監査機能を使用しません。 WCF アダプターの WCF セキュリティ監査機能を有効にするには、複数の方法があります。 WCF セキュリティ監査機能の詳細については、「セキュリティ イベントの監査」 https://go.microsoft.com/fwlink/?LinkId=88975を参照してください。
WCF-Custom 受信アダプターで WCF セキュリティ監査機能を使用するには、受信場所の ServiceSecurityAuditBehavior を構成します。
インプロセス WCF アダプターの場合、パフォーマンス カウンターは BTSNTSvc.exe.config ファイルを使用して有効にすることができます。 分離 WCF アダプターの場合は、BizTalk WCF サービス公開ウィザードによって Web アプリケーション フォルダーに作成される Web.config ファイルを変更して WCF 追跡を有効にすることができます。 BTSNtSvc.exe.config または Web.config を変更するには、構成ファイルを開き、次の構成例に示すように WCF 追跡を構成します。
Note
BTSNTSvc.exe.config ファイルは常に、BTSNTSvc.exe ファイルと同じディレクトリに配置されます。通常は \Program Files (x86)\Microsoft BizTalk Server <VERSION です>。
Note
BTSNTSvc.exe.config ファイルを変更した後、インプロセス WCF 受信場所を実行するホスト インスタンスを再起動する必要があります。
<configuration> <system.serviceModel> <diagnostics performanceCounters="All" /> <behaviors> <serviceBehaviors> <behavior name="ServiceBehaviorConfiguration"> <serviceSecurityAudit auditLogLocation="Application" suppressAuditFailure="true" serviceAuthorizationAuditLevel="SuccessOrFailure" messageAuthenticationAuditLevel="SuccessOrFailure" /> </behavior> </serviceBehaviors> </behaviors> <services> <service name="Microsoft.BizTalk.Adapter.Wcf.Runtime.BizTalkServiceInstance" behaviorConfiguration="ServiceBehaviorConfiguration"> </service> </services> </system.serviceModel> </configuration>さらに、"承認されていないセキュリティ呼び出し" などのセキュリティ関連のパフォーマンス カウンターを使用して WCF アダプターを監視することもできます。 WCF パフォーマンス カウンターを有効にする方法の詳細については、「WCF アダプターのパフォーマンス カウンター」を参照してください。