Bagikan melalui

Rekomendasi Keamanan Adapter SOAP

  • Artikel

BizTalk Server menggunakan adaptor SOAP untuk menerbitkan (menerima) dan menggunakan (mengirim) layanan Web. Untuk informasi selengkapnya tentang adaptor SOAP, lihat Adaptor SOAP. Untuk informasi selengkapnya tentang layanan Web, lihat Menggunakan Layanan Web. Disarankan agar Anda mengikuti panduan ini untuk mengamankan dan menyebarkan adaptor SOAP di lingkungan Anda.

  • Untuk rekomendasi keamanan untuk menerbitkan layanan Web, lihat Mengaktifkan Layanan Web.

  • Adaptor SOAP memanfaatkan Hypertext Transfer Protocol (HTTP) untuk mengirim dan menerima pesan ke dan dari BizTalk Server. Oleh karena itu, Anda harus mengikuti rekomendasi keamanan untuk mengamankan Internet Information Services (IIS). Jika Anda menggunakan IIS 7.0, pastikan Anda mengikuti rekomendasi IIS 7.0 untuk mengonfigurasi isolasi aplikasi. Untuk informasi selengkapnya, lihat Membuat Kumpulan Aplikasi (IIS 7).

  • Saat Anda membuat kumpulan aplikasi untuk lokasi penerima SOAP, Anda harus mengonfigurasinya untuk dijalankan di bawah akun yang merupakan anggota grup Windows untuk host terisolasi yang menjalankan adaptor penerima SOAP dan grup Proses Pekerja Layanan Informasi Internet (grup IIS_WPG). Anda kemudian harus mengonfigurasi instans host untuk adaptor penerima SOAP untuk menggunakan akun ini. Jika Anda mengubah akun untuk grup IIS_WPG, Anda harus memastikan Anda juga memperbarui instans host untuk dijalankan di bawah akun baru.

  • Saat Anda menggunakan sertifikat klien Secure Sockets Layer (SSL) dengan adaptor pengiriman SOAP, Anda harus mengonfigurasi sertifikat ini secara manual.

  • Saat menggunakan layanan Web, Anda dapat menggunakan sertifikat anonim, dasar, hash, terintegrasi Windows, atau klien untuk autentikasi. Saat menggunakan layanan Web dengan menggunakan autentikasi dasar, disarankan untuk menggunakan SSL untuk memastikan bahwa orang yang tidak berwenang tidak dapat membaca kredensial pengguna dari pesan.

  • Anda dapat menggunakan Enterprise Single Sign-On (SSO) dalam skenario di mana Anda perlu memetakan konten pengguna front-end ke kredensial dalam sistem back-end. Untuk informasi selengkapnya, lihat Cara Memetakan Kredensial Sign-On Tunggal.

  • Saat menggunakan autentikasi dasar, atau ketika Anda tidak menggunakan enkripsi di tingkat pesan, disarankan untuk menggunakan SSL untuk menerima dan mengirim pesan untuk memastikan bahwa orang yang tidak berwenang tidak dapat membaca kredensial pengguna.

  • Disarankan untuk menggunakan autentikasi terintegrasi Windows untuk mengirim dan menerima pesan.

  • Komputer yang menjalankan adaptor SOAP juga memiliki runtime BizTalk Server. Disarankan agar Anda tidak meletakkan adaptor SOAP di jaringan perimeter. Jika demikian, Anda harus membuka port dari jaringan perimeter ke domain data untuk lalu lintas SQL Server ke database MessageBox, dan Anda mengekspos runtime BizTalk Server ke potensi serangan. Disarankan agar Anda mengonfigurasi adaptor SOAP di domain pemrosesan (artinya, bukan jaringan perimeter). Anda kemudian dapat mengonfigurasi firewall terluar untuk meneruskan permintaan SOAP melalui firewall di domain pemrosesan. Mekanisme ini disebut proksi terbalik. (Implementasi server Forefront Threat Management Gateway (TMG) 2010 disebut Penerbitan Web.)

Lihat juga

Port untuk Hak Pengguna Keamanan MinimumTerima dan Kirim Server