Partager via

Recommandations de sécurité pour les adaptateurs WCF

  • Article

BizTalk Server utilise les adaptateurs WCF pour publier (recevoir) et consommer (envoyer) des services WCF. Nous vous recommandons de respecter les informations suivantes pour la sécurisation et le déploiement des adaptateurs WCF dans votre environnement.

Pour plus d’informations sur les cartes WCF, consultez Adaptateurs WCF. Pour plus d’informations sur les services WCF, consultez Utilisation des services WCF.

Recommandations de sécurité pour tous les adaptateurs WCF

  • Vous pouvez utiliser l'authentification unique de l'entreprise (SSO) dans les scénarios où vous devez effectuer le mappage du contenu de l'utilisateur frontal vers les informations d'identification stockées dans le système principal.

  • Tous les services ne sont pas tenus de publier des métadonnées. Désactiver la publication de métadonnées permet de réduire la surface d'attaque de votre service et limiter le risque de divulgation d'informations involontaire. Pour plus d’informations sur les problèmes de sécurité liés aux métadonnées, consultez « Considérations relatives à la sécurité avec les métadonnées » à l’adresse https://go.microsoft.com/fwlink/?LinkId=196671.

  • Les combinaisons de liaisons de point de terminaison des métadonnées et de liaisons de points de terminaison de service ne sont pas toutes valides. Dans certains cas, les configurations de liaison d'un point de terminaison des métadonnées doivent être conformes aux configurations de liaison de son point de terminaison de service. Par exemple, lorsque les métadonnées sont utilisées depuis le même emplacement que l'emplacement de réception, le point de terminaison des métadonnées ne peut pas être configuré avec un mode de sécurité impliquant le transport HTTP si l'emplacement de réception utilise un mode de sécurité basé sur HTTPS.

    Notes

    Lorsque vous publiez des métadonnées via le transport HTTP pour un point de terminaison de service ayant le même emplacement, mais qui nécessite un mode de sécurité qui s’appuie sur le transport HTTPS, dans le fichier Web.config généré par l’Assistant Publication WCF BizTalk, vous devez définir les attributs httpsGetEnabled et httpGetEnabled sur true.

  • Les adaptateurs WCF exploitent les fonctions de sécurité de Windows Communication Foundation (WCF) pour communiquer. Il est important de comprendre les capacités et limitations de WCF en termes de sécurité. Pour plus d’informations sur les fonctionnalités de sécurité de WCF, consultez « Windows Communication Foundation Security » à l’adresse https://go.microsoft.com/fwlink/?LinkId=87806.

Recommandations de sécurité pour les adaptateurs WCF isolés

  • Pour obtenir des recommandations de sécurité pour la publication de services Web, consultez Activation des services web.

  • Les adaptateurs WCF isolés, tels que WCF-CustomIsolated, WCF-BasicHttp et WCF-WSHttp, tirent parti du protocole HTTP (Hypertext Transfer Protocol) pour envoyer et recevoir des messages vers et depuis BizTalk Server. Vous devez donc suivre les recommandations de sécurité pour sécuriser les services Internet (IIS).

  • Lorsque vous créez un pool d’applications pour un emplacement de réception WCF isolé, vous devez le configurer pour qu’il s’exécute sous un compte membre du groupe Windows pour l’hôte isolé exécutant l’adaptateur de réception WCF et le groupe Processus de travail des services Internet Information (IIS_WPG groupe). Vous devez ensuite configurer l'instance d'hôte pour que l'adaptateur de réception WCF puisse utiliser ce compte. Si vous remplacez le compte du groupe IIS_WPG, vous devez vous assurer de mettre également à jour l'instance d'hôte pour qu'elle s'exécute sous le nouveau compte.

Recommandations de sécurité pour l'adaptateur WCF-Custom

  • Si un emplacement de réception WCF-Custom utilise le pilote en mode noyau HTTP (HTTP.sys), tel que l’élément de liaison httpsTransport pour les communications SSL (Secure Sockets Layer), l’emplacement de réception doit disposer d’un certificat inscrit pour chaque socket (combinaison adresse IP/port). Utilisez l'outil HttpCfg.exe pour lier un certificat SSL à un port sur l'ordinateur. Pour plus d’informations, consultez « Guide pratique pour configurer un port avec un certificat SSL » à l’adresse https://go.microsoft.com/fwlink/?LinkId=86384.

Recommandations de sécurité pour l'adaptateur WCF-NetMsmq

  • Pour utiliser l’adaptateur WCF-NetMsmq, vous devez configurer les paramètres de sécurité MSMQ pour l’adaptateur WCF-NetMsmq de la même manière que pour netMsmqBinding. Pour plus d’informations sur la configuration des paramètres de sécurité MSMQ pour netMsmqBinding, consultez « Résolution des problèmes de messagerie mise en file d’attente » sur https://go.microsoft.com/fwlink/?LinkId=87816.

Les adaptateurs WCF utilisent le mode ChainTrust pour valider les certificats.

  • Étant donné que les adaptateurs de réception WCF standard utilisent le mode ChainTrust pour valider les certificats client et de service, vous devez installer la chaîne de certificats d’autorité de certification pour valider les certificats X.509. Vous pouvez utiliser le WCF-Custom ou l’adaptateur WCF-CustomIsolated pour modifier ce comportement par défaut.

Audit de sécurité pour les adaptateurs WCF

  • Les adaptateurs WCF n'utilisent pas les fonctions d'audit de sécurité WCF par défaut. Il existe différentes façons d'activer les fonctions d'audit de sécurité WCF pour les adaptateurs WCF. Pour plus d’informations sur les fonctionnalités d’audit de sécurité WCF, consultez « Audit des événements de sécurité » à l’adresse https://go.microsoft.com/fwlink/?LinkId=88975.

  • Pour utiliser les fonctionnalités d’audit de sécurité WCF avec l’adaptateur de réception WCF-Custom, vous pouvez configurer ServiceSecurityAuditBehavior pour les emplacements de réception.

  • Pour les adaptateurs WCF In-process, vous pouvez activer les compteurs de performance via le fichier BTSNTSvc.exe.config. Pour les adaptateurs WCF isolés, vous pouvez activer le suivi WCF en modifiant le fichier Web.config que l'Assistant Publication de services WCF BizTalk crée dans le dossier de l'application Web. Pour modifier le fichier de configuration BTSNtSvc.exe.config ou Web.config, ouvrez-le, puis configurez le suivi WCF, comme décrit dans l'exemple de configuration suivant :

    Notes

    Le fichier BTSNTSvc.exe.config se trouve toujours dans le même répertoire que le fichier BTSNTSvc.exe, qui est généralement \Program Files (x86)\Microsoft BizTalk Server <VERSION>.

    Notes

    Une fois le fichier BTSNTSvc.exe.config modifié, vous devez redémarrer les instances d'hôte exécutant les emplacements de réception WCF In-process.

    <configuration>
    <system.serviceModel>
      <diagnostics performanceCounters="All" />
      <behaviors>
        <serviceBehaviors>
          <behavior name="ServiceBehaviorConfiguration">
            <serviceSecurityAudit
                      auditLogLocation="Application"
                      suppressAuditFailure="true"
                      serviceAuthorizationAuditLevel="SuccessOrFailure"
messageAuthenticationAuditLevel="SuccessOrFailure" />
          </behavior>
        </serviceBehaviors>
      </behaviors>
      <services>
        <service name="Microsoft.BizTalk.Adapter.Wcf.Runtime.BizTalkServiceInstance" behaviorConfiguration="ServiceBehaviorConfiguration">
        </service>
      </services>
    </system.serviceModel>
</configuration>

  • Vous pouvez également utiliser un compteur de performances lié à la sécurité tel que Security Calls Not Authorized pour gérer les adaptateurs WCF. Pour plus d’informations sur l’activation des compteurs de performances WCF, consultez Compteurs de performances des adaptateurs WCF.

Voir aussi

Planification de la sécurité