メッセージの送信者の認証

  • [アーティクル]

Microsoft BizTalk Serverでは、さまざまなメカニズムを使用して、当事者が誰であると主張しているか、またはプロセスが要求していることを確認します。 さらに、プロセスでメッセージの元の送信者の情報を BizTalk Server に中継できるようにするかどうか、また BizTalk Server でパーティをパートナーとして認識するかどうかを指定できます。

次の図に、メッセージの送信者の認証および承認に使用できる BizTalk Server のセキュリティ機能を示します。

セキュリティで保護されたメッセージebiz_plan_secoverviewのセキュリティ機能
メッセージ送信の認証および承認に使用する BizTalk Server のセキュリティ機能

メッセージの送信者の認証に使用できる機能は次のとおりです。

  • デジタル署名の検証 : メッセージがデジタル署名されている場合、その署名を使用して送信者の ID を確認します。 デジタル署名検証を構成する方法の詳細については、「署名付きメッセージを受信するためのBizTalk Serverを構成する方法」を参照してください。

  • パーティの解決 : メッセージ ボックス データベースに挿入されたすべてのメッセージには、発信元が BizTalk Server の内外にかかわらず、パーティ ID (PID) が設定されています。PID は、デジタル証明書か Windows アカウントのいずれかを PID にマッピングすることで決定されます。 パーティ解決コンポーネントを構成する方法の詳細については、「パーティ解決 に証明書を使用する」を参照してください。

  • 認証の要求 : 送信ポートでメッセージの送信者を特定できない場合、BizTalk ホストでは、そのメッセージを "Guest" メッセージとして受け取るか、完全に無視することができます。 不明なパーティは処理されないか、追跡データベースに保存されないため、この機能を使用するとサービスの拒否攻撃からシステムを保護できます。 受信ポートの認証オプションの詳細については、「受信ポートの 認証オプションを構成する方法」を参照してください。

  • 信頼されている認証 : 認証が信頼済みに設定されていないホストからメッセージを受信した場合、メッセージ ボックス データベースではメッセージの PID が Guest ID で上書きされ、SSID がホスト インスタンスを実行しているサービス アカウントで上書きされます。 BizTalk Server では、認証が信頼済みであると確認されたホストは、メッセージ ボックス データベースへキュー送信するときに、メッセージの送信者がこのホスト以外のエンティティであると示すことができます。 信頼済み認証の主な目的は、パイプラインで PID を解決して認証や送信パーティの解決で使用されるサービスにその PID を渡せるようにすることと、オーケストレーション アクションの認証で使用されるサービスに送信者の Windows セキュリティ ID (SSID) を転送できるようにすることです。 認証の信頼されたホストの詳細については、「 ホストのプロパティを変更する方法」を参照してください。 BizTalk Server オーケストレーションをパーティの解決と組み合わせて使用する方法の詳細については、「PartyResolution (BizTalk Server Sample)」を参照してください。

    このメッセージの送信元、メッセージの元の送信者、またはメッセージの受信者や参照者を把握する必要があるかどうかに応じて、図に示された機能の一部またはすべてを使用できます。

    メッセージが確かにこちらから送信されていることと、送信中に他のユーザーから読み取られていないことをパートナー側で認識することが重要な場合は、次の方法を使用して、特定の受信者や受信アプリケーションのみがメッセージを受信できるようにすることをお勧めします。

  • 送信メッセージにデジタル署名を使用して、パートナー側でメッセージの送信者がこちらであることを確認できるようにする。

  • 送信メッセージを暗号化して、送信中のメッセージを承認されていないパーティに参照されないようにする。

    会社にメッセージを送信したユーザーを特定することと、送信中にメッセージが他のユーザーから読み取られていないことを確認することが重要な場合は、次の方法を使用して、特定の受信者や受信アプリケーションのみがメッセージを受信できるようにすることをお勧めします。

  • デジタル署名付きのメッセージのみを受信許可して、メッセージの送信者を確認できるようにする。

  • パートナーに公開キー証明書を送信して、パートナーから BizTalk Server に送信するメッセージが暗号化されるようにする。 暗号化を使用することで、送信中のメッセージが承認されていないパーティに参照されないようにできます。

  • 受信ポートの認証要求プロパティを使用して、メッセージが既知のパーティから送信されていることを確認する。

    複数のホストでメッセージが処理されると、メッセージの元の送信者がわからなくなる場合があります。 元の送信者の ID を知る必要がある場合 (たとえば、メッセージの送受信アクセスを許可する場合など)、BizTalk Serverは、その ID に基づいてダウンストリーム ホストへのアクセスを検証するために、多くのホストを介して元の送信者の ID を伝達するためのセキュリティ メカニズムを提供します。 BizTalk Server では、このときに "信頼されている認証" のプロセスが呼び出されます。 詳細については、「 プロセス間のメッセージの認証」を参照してください。

このセクションの内容