HTTP アダプターのセキュリティに関する推奨事項

HTTP アダプタは、BizTalk Server とアプリケーション間で HTTP (Hypertext Transfer Protocol) を介して情報を交換するために使用します。 アプリケーションは、指定された HTTP URL に HTTP POST 要求または HTTP GET 要求を送信することで、サーバーにメッセージを送信できます。 HTTP アダプターの詳細については、「HTTP アダプター」を参照してください。 HTTP アダプターをセキュリティで保護して環境に展開するには、次のガイドラインに従うことをお勧めします。

  • HTTP アダプター用にインターネット インフォメーション サービス (IIS) の設定を構成するようにします。 詳細については、「 HTTP 受信場所の IIS を構成する方法」を参照してください。

  • 7.0 を使用する場合は、アプリケーションの分離を構成するための IIS 7.0 の推奨事項に従ってください。

  • 基本認証を使用する場合、またはメッセージ レベルでの暗号化を使用しない場合、メッセージの送受信両方に Secure Sockets Layer (SSL) を使用して、未認証のユーザーがユーザーの資格情報をスニッフィングできないようにすることをお勧めします。

  • メッセージの送受信に Windows 統合認証を使用することをお勧めします。

  • ISAPI 拡張ファイルの名前変更、コピー、または移動を実行しないことをお勧めします。 これにより、セキュリティ更新プログラムのインストーラーが、このファイルに関連する可能性のあるセキュリティ更新プログラムを正しく適用できます。

  • 強力な随意アクセス制御リスト (DACL) を、ISAPI 拡張ファイルを含むディレクトリおよびメッセージの受信用に作成する仮想ディレクトリに使用する必要があります。 HTTP アダプターを実行しているホストの BizTalk 分離ホスト グループのメンバーには、読み取りと実行のアクセス許可が必要です。また、HTTP アダプターが認証するユーザーには、これらのディレクトリに対する読み取りアクセス許可が必要です。

  • HTTP 送信アダプターで SSL クライアント証明書を使用する場合は、これらの証明書を手動で構成する必要があります。

  • 他の BizTalk Server コンポーネントと同様に、HTTP アダプタは、境界ネットワークに配置しないことをお勧めします。 境界ネットワークに配置する場合、境界ネットワークのポートを、メッセージ ボックス データベースへの SQL Server トラフィック用のデータ ドメインに開く必要がありますが、これにはリスクが伴います。 HTTP アダプターは、処理ドメイン (つまり、境界ネットワーク以外) で構成することをお勧めします。 処理ドメインで構成したら、最も外側のファイアウォール (FW4) を、処理ドメイン内のファイアウォール (FW3) 経由で HTTP 要求を転送するように構成できます。 この場合、境界ネットワーク内に IIS は必要ありません。 このメカニズムはリバース プロキシと呼ばれます (Forefront Threat Management Gateway (TMG) 2010 サーバー実装では「Web 公開」と呼ばれます)。

  • HTTP 受信場所にアプリケーション プールを作成する場合、HTTP 受信アダプターを実行している分離ホストの Windows グループおよびインターネット インフォメーション サービスのワーカー プロセス グループ (IIS_WPG group) のメンバーであるアカウントで実行するように構成する必要があります。 その後、BizTalk Server 管理コンソールを使用して、HTTP 受信アダプタのホスト インスタンスでこのアカウントを使用するように構成する必要があります。 IIS_WPG グループのアカウントを変更する場合は、新しいアカウントで実行されるようにホスト インスタンスを更新する必要もあります。 詳細については、「 HTTP 受信場所の IIS を構成する方法」を参照してください。

参照

受信サーバーと送信サーバーのポート
セキュリティ保護のための最小ユーザー権限