메시지 송신 및 수신 보안
다음 그림은 BizTalk Server가 메시지를 받아 처리하고 다른 응용 프로그램 또는 파트너에 보내는 과정을 보여 줍니다.
메시지 수명 전체에서 사용되는 보안 기능
어댑터의 수신 위치에서 메시지를 받습니다. 프로토콜에 따라, 어댑터는 보낸 사람에 대한 프로토콜 수준 인증을 수행하여 메시지 보낸 사람을 나타내는 Windows 사용자 계정을 식별합니다.
그런 다음 어댑터에서 파이프라인으로 메시지가 전송되며, 어댑터에서 메시지 수준 인증이 수행되지 않은 경우 파이프라인에서 메시지 수준 인증이 수행됩니다.
디코드 단계에서 파이프라인은 메시지를 해독하고 메시지에 첨부된 인증서나 로컬 컴퓨터의 다른 사람 인증서 저장소에 구성된 인증서를 사용하여 서명의 유효성을 확인합니다. 파이프라인에서 서명의 유효성 검사가 완료되면 디코딩 구성 요소는 신뢰할 수 있는 루트 CA(인증 기관)에 대해 인증서 체인의 유효성을 검사합니다. 파이프라인에서 S/MIME 메시지를 디코딩하도록 구성하고 보낸 사람이 S/MIME을 사용하여 메시지를 암호화한 경우 MIME/SMIME 디코더는 메시지의 서명을 확인하고 인증서를 사용하여 보낸 사람을 식별합니다. MIME/SMIME 디코더 파이프라인 구성 요소를 사용하는 방법에 대한 자세한 내용은 메시지 보안 구현을 참조하세요.
파티 확인 단계에서, BizTalk Server는 프로토콜 수준 인증에서 얻은 인증서 정보 및 SSID(보낸 사람 보안 ID)를 사용하여 메시지 보낸 사람이 시스템에서 인식되는 파티인지 확인합니다. 보낸 사람 SSID는 어댑터에서 인증된 사용자의 정규화된 이름입니다. 예를 들어 모바일 서비스는 스크립트 실행 간에 상태를 유지하지 않으므로 스크립트 실행 간에 지속되어야 하는 모든 데이터를 테이블에 저장해야 합니다. BizTalk Server가 Windows 인증을 사용하여 HTTP 어댑터를 통해 메시지를 받은 경우 보낸 사람 SSID는 도메인\사용자 이름입니다. BizTalk Server 인식된 파티의 파티 ID 또는 게스트 ID인 PID(파티 ID)를 메시지에 할당합니다. 파티 확인 구성 요소를 사용하는 방법에 대한 자세한 내용은 파티 확인에 인증서 사용을 참조하세요.
보낸 사람이 시스템의 알려진 파티에 대해 인증되도록 수신 포트를 구성했는데 BizTalk Server가 메시지 보낸 사람의 PID를 찾을 수 없는 경우, BizTalk Server는 수신 포트의 구성에 따라 메시지를 삭제 또는 일시 중단합니다. BizTalk Server는 서비스 거부 공격을 완화하기 위해 이 기능을 제공합니다. 수신 포트에 대한 인증 옵션에 대한 자세한 내용은 수신 포트 에 대한 인증 옵션을 구성하는 방법을 참조하세요.
파이프라인은 메시지를 인증한 후 MessageBox 데이터베이스로 보냅니다.
큐에 넣기 호스트(파이프라인을 실행하는 호스트)가 인증 신뢰 호스트로 식별되지 않은 경우 MessageBox 데이터베이스는 PID를 게스트 ID로 덮어쓰고, SSID를 큐에 넣기 호스트 인스턴스를 실행하는 서비스 계정으로 덮어씁니다. 신뢰할 수 있는 호스트 인증에 대한 자세한 내용은 프로세스 간 메시지 인증을 참조하세요. 인증 신뢰할 수 있는 호스트를 구성하는 방법에 대한 자세한 내용은 호스트 속성을 수정하는 방법을 참조하세요.
파이프라인이 실행되는 호스트가 인증 신뢰로 표시되는 경우 MessageBox 데이터베이스는 PID 및 SSID를 신뢰하고 메시지 컨텍스트에 이 정보를 남겨둡니다. 그러면 다운스트림 프로세스는 이 정보를 사용하여 원래 메시지 보낸 사람을 인증하거나 권한을 부여할 수 있습니다.
BizTalk Server에서 수신 권한 부여를 필요로 하는 경우 MessageBox 데이터베이스는 메시지를 구독하는 호스트에 수신 권한이 있는지 확인합니다. 수신 권한 부여에 대한 자세한 내용은 메시지 수신자 권한 부여를 참조하세요.
BizTalk Server에서 메시지를 처리하면 아웃바운드 파이프라인은 인코드 단계에서 메시지를 암호화 및/또는 디지털 서명합니다.