Traccia attività relative alla protezione dei messaggi

  • Articolo

Questo argomento descrive la traccia attività per l'elaborazione delle operazioni di protezione, che si articola nelle tre fasi seguenti.

  • Scambio negoziazione/SCT: questa fase può verificarsi a livello di trasporto (tramite lo scambio di dati binari) o a livello di messaggio (tramite lo scambio di messaggi SOAP).
  • Crittografia/decrittografia dei messaggi (con verifica della firma e autenticazione): le tracce vengono riportate nell'attività di ambiente, che in genere è l'attività ProcessAction.
  • Autorizzazione e verifica: questa fase può verificarsi localmente oppure durante la comunicazione tra endpoint.

Scambio negoziazione/SCT

La fase di scambio negoziazione/SCT prevede la creazione di due tipi di attività nel client: l'impostazione della sessione di protezione e la chiusura della sessione protetta. La prima attività contiene le tracce relative agli scambi di messaggi RST/RSTR/SCT mentre la seconda contiene le tracce relative al messaggio di annullamento.

Nel server, ogni request/reply degli scambi RST/RSTR/SCT viene visualizzato nella propria attività. Se sia nel server sia nel client si specifica propagateActivity=true, le attività nel server presentano lo stesso ID e sono visualizzate insieme nell'attività di impostazione della sessione di protezione quando vengono visualizzate tramite il visualizzatore di tracce dei servizi.

Questo modello di traccia attività è valido per le autenticazioni basate su nome/password, certificato o NTLM.

Nella tabella seguente sono elencate le attività e le tracce relative allo scambio negoziazione/SCT.

Contesto in cui si verifica lo scambio negoziazione/SCT Attività Tracce

Protezione a livello di trasporto

(HTTPS, SSL)

Alla ricezione del primo messaggio.

Le tracce vengono generate nell'attività di ambiente.
  • Scambio di tracce
  • Creazione di un canale protetto
  • Ottenimento dei segreti di condivisione.

Protezione a livello di messaggio

(WSHTTP)

Alla ricezione del primo messaggio.

Nel client:

  • Attività di impostazione della sessione di protezione causata dall'attività ProcessAction di questo primo messaggio, per ogni request/reply degli scambi RST/RSTR/SCT.
  • Attività di chiusura della sessione protetta dello scambio di annullamento, causata dall'attività di chiusura del proxy. Questa attività può essere causata da un'altra attività di ambiente, a seconda del momento di chiusura della sessione protetta.

Nel server:

  • Un'unica attività di elaborazione dell'azione per ogni request/reply relativo agli scambi RST/SCT/Cancel nel server. Se si specifica propagateActivity=true, le attività degli scambi RST/RSTR/SCT vengono unite all'attività di impostazione della sessione di protezione mentre l'attività di annullamento viene unita all'attività di chiusura del client.

L'attività di impostazione della sessione di protezione si articola in due fasi:

  1. Negoziazione dell'autenticazione: questa fase è facoltativa se il client già dispone delle credenziali corrette. Questa fase può essere eseguita tramite un trasporto protetto o lo scambio di messaggi. Nel secondo caso è possibile che si verifichino 1 o 2 scambi RST/RSTR. Per questi scambi il sistema genera tracce in nuove attività di request/reply, come descritto in precedenza.
  2. Creazione di una sessione protetta: in tale fase si verifica un unico scambio RST/RSTR avente le stesse attività di ambiente descritte in precedenza.
  • Scambio di tracce
  • Creazione di un canale protetto
  • Ottenimento dei segreti di condivisione.

Nota

In modalità di protezione mista, l'autenticazione di negoziazione si verifica in scambi binari. Tuttavia, lo scambio SCT si verifica tramite lo scambio di messaggi. Nella modalità di trasporto pure, la negoziazione si verifica solo nel trasporto senza alcuna attività aggiuntiva.

Crittografia e decrittografia dei messaggi

Nella tabella seguente sono elencate le attività e le tracce relative alla crittografia/decrittografia dei messaggi, nonché all'autenticazione della firma.

Protezione a livello di trasporto (HTTPS, SSL) e del livello di messaggio (WSHTTP)

Momento in cui si verificano la crittografia/decrittografia dei messaggi e l'autenticazione della firma

Alla ricezione del messaggio

Attività

Le tracce vengono generate nell'attività ProcessAction nel client e nel server.

Tracce
  • sendSecurityHeader (mittente):
  • Firmare il messaggio
  • Crittografare i dati di richiesta
  • receiveSecurityHeader (destinatario):
  • Verificare la firma
  • Decrittografare i dati di risposta
  • Autenticazione

Nota

Nella modalità di trasporto pure, la crittografia/decrittografia dei messaggi si verifica solo nel trasporto senza alcuna attività aggiuntiva.

Autorizzazione e verifica

Nella tabella seguente sono elencate le attività e le tracce relative all'autorizzazione.

Momento in cui si verifica l'autorizzazione Attività Tracce

Locale (impostazione predefinita)

Dopo che il messaggio è stato decrittografato nel server

Le tracce vengono generate nell'attività ProcessAction nel server.

Autorizzazione dell'utente.

Remota

Dopo che il messaggio è stato decrittografato nel server

Le tracce vengono generate in una nuova attività richiamata dall'attività ProcessAction.

Autorizzazione dell'utente.