다음을 통해 공유

인바운드 메시지 인증

  • 아티클

BizTalk Server는 메시지 보낸 사람 ID의 유효성을 검사하기 위해 인증서 정보나 Windows 통합 보안을 사용하여 메시지 보낸 사람을 인증할 수 있습니다. 다음 그림에서는 인바운드 메시지를 인증하는 데 사용할 수 있는 BizTalk Server 보안 기능을 보여줍니다.

인바운드 메시지를 인증하는 보안 기능
BizTalk Server가 인바운드 메시지를 인증하는 데 사용하는 보안 기능

BizTalk Server가 암호화되고 서명된 메시지를 수신하면 다음 단계를 수행하여 송신 파티가 인식되도록 합니다.

  1. 메시지가 BizTalk Server 수신 위치에 도착하면 수신 처리기는 송신 프로세스에서 보낸 사람의 Windows 보안 ID(SSID) 가져오기를 시도합니다. 수신 위치는 SSID 다운스트림을 전달하여 수신기가 서명된 메시지를 이미 인증한 경우를 지원합니다. 클라이언트 쪽 인증서 정보를 가져올 수 있으면 BizTalk Server 수신 위치는 해당 인증서 정보를 가져와 추후 파티 확인을 위해 수신 파이프라인에 전달합니다. 수신 처리기가 SSID를 가져올 수 없으면 이 필드는 빈 상태로 남게 됩니다.

    수신 처리기가 메시지가 해독되는 수신 파이프라인으로 메시지를 보내면 디지털 서명이 확인되고, 파이프라인에 파티 검사(resolution) 구성 요소가 있는 경우 파티 검사(resolution)가 수행됩니다. 보낸 사람이 들어오는 메시지에 서명 인증서를 사용한 경우 MIME/SMIME 디코더 구성 요소는 어댑터에서 가져온 인증서 정보를 덮어씁니다.

  2. 보낸 사람이 메시지를 암호화한 경우 MIME/SMIME 디코더는 호스트 인스턴스 서비스 계정에 대한 개인 인증서 저장소에서 암호화 인증서를 검색하고 개인 키를 사용하여 메시지를 해독합니다.

    보낸 사람이 메시지에 서명한 경우 MIME/SMIME 디코더는 서명 조작에 대한 페이로드 해시를 확인한 후 인증서 저장소에서 인증서를 검색하여 서명을 확인함으로써 디지털 서명을 인증합니다. 서명자의 공개 키가 메시지 자체에 있는 경우 MIME/SMIME 디코더는 인증서 저장소에서 인증서를 검색하지 않고 메시지와 함께 온 공개 키를 사용합니다.

  3. 일반적으로 파이프라인에서 최종 처리 단계는 파티 검사(resolution)입니다. BizTalk 탐색기 또는 BizTalk Server 관리 콘솔을 사용하여 파티를 만들고, 서명 인증서에 매핑하며, 파티 별칭을 만들 수 있습니다. BizTalk 탐색기에 정의하는 모든 파티는 고유한 PID(파티 식별자)를 갖습니다. BizTalk Server는 PID를 가져와 메시지 컨텍스트에 배치합니다. BizTalk는 다음 중 한 가지 방법으로 PID를 가져옵니다.

    1. 보낸 사람이 메시지에 서명한 경우, 또는 수신 처리기가 클라이언트 쪽 인증서를 가져올 수 있었고 사용자는 해당 인증서를 사용하여 파티를 확인하는 옵션을 선택한 경우 BizTalk는 해당 서명 또는 클라이언트 쪽 인증서를 사용하여 PID를 조회합니다. 메시지 수신을 시작하기 전에 인증서를 속성으로 사용하도록 파티를 구성해야 합니다. 파티를 구성하는 방법에 대한 자세한 내용은 파티 확인을 위해 인증서 사용을 참조하세요.

    2. 보낸 사람이 메시지에 서명 인증서를 사용하지 않았고 사용자는 SSID(보낸 사람의 보안 ID)를 사용하여 파티를 확인하는 옵션을 선택한 경우 파티 검사(resolution) 구성 요소는 SSID를 사용하여 PID를 조회합니다. 메시지 수신을 시작하기 전에 SSID를 별칭으로 사용하도록 파티를 구성해야 합니다. 파티 확인 구성 요소에 대한 자세한 내용은 파티 확인 파이프라인 구성 요소를 참조하세요.

      참고

      BizTalk Server는 파티에 대한 별칭을 정의할 때 실제 Windows SID 대신 계정 이름을 사용합니다.

    3. 파티를 확인할 수 없으면 파이프라인은 PID를 게스트로 설정합니다.

  4. 수신 포트를 Authentication Required로 표시했고, BizTalk Server가 올바른 PID를 가져와 알려진 파티임을 확인한 경우 메시지는 MessageBox 데이터베이스에 대기하게 됩니다. SSID가 비어 있거나 PID가 게스트 ID이면 BizTalk Server는 (Authentication Required 속성의 구성에 따라) 메시지를 삭제하거나 일시 중단된 큐로 보냅니다. 알 수 없는 파티에서 대량의 메시지를 수신할 경우의 부작용을 최소화하는 방법으로 Authentication Required 속성을 사용할 수 있습니다. 수신 포트에 대한 인증 옵션에 대한 자세한 내용은 수신 포트 에 대한 인증 옵션을 구성하는 방법을 참조하세요.

참고 항목

프로세스 간 메시지 인증
아웃바운드 메시지 보호
메시지 보낸 사람 인증
메시지 받는 사람 인증
서명된 메시지를 받도록 BizTalk Server를 구성하는 방법
BizTalk Server에서 서명된 메시지에 사용하는 인증서