Teilen über


Sicherheit mit dem SAP-Adapter und BizTalk Server

Wenn Sie einen Sendeport oder einen Empfangsport (Speicherort) mithilfe der BizTalk Server-Verwaltungskonsole konfigurieren oder das BizTalk-Projekt-Add-In zum Abrufen von Nachrichtenschemas für eine BizTalk-Lösung verwenden, müssen Sie Anmeldeinformationen für das SAP-System angeben. Es ist wichtig, diese Anmeldeinformationen auf sichere Weise zur Verfügung zu stellen, um zu verhindern, dass sie potenziell böswilligen Akteuren offengelegt werden. In diesem Thema wird erläutert, wie Anmeldeinformationen für den Microsoft BizTalk-Adapter für mySAP Business Suite für BizTalk Server-Lösungen am sichersten bereitgestellt werden.

Eine allgemeinere Diskussion der Sicherheit im Kontext von BizTalk-Lösungen ist ein umfangreiches Thema und geht über den Rahmen dieser Dokumentation hinaus. Informationen dazu, wie Sie Ihre BizTalk-Lösungen sicherer machen können, finden Sie unter Sichern und Schützen Ihrer BizTalk-Nachrichten.

Wie schütze ich Anmeldeinformationen, wenn ich das BizTalk-Projekt-Add-In des Nutzungsadapterdiensts verwende?

Wenn Sie das Add-In Adapterdienst nutzen verwenden, um Nachrichtenschemas für eine BizTalk-Lösung abzurufen, müssen Sie einen Benutzernamen und ein Kennwort für das SAP-System angeben. Sie sollten dies nur über die Registerkarte Sicherheit im Dialogfeld Adapter konfigurieren tun. Dadurch wird sichergestellt, dass Ihre Anmeldeinformationen nicht im Feld URI des Dialogfelds Adapterdienst-Add-In nutzen angezeigt werden, in dem jeder Benutzer mit Zugriff auf ihren Computerbildschirm sie lesen kann. Weitere Informationen zum Abrufen von Nachrichtenschemas mithilfe des Adapterdienst-Add-Ins nutzen, einschließlich der Eingabe eines Benutzernamens und kennworts für das SAP-System, finden Sie unter Abrufen von Metadaten für SAP-Vorgänge in Visual Studio.

Wie schütze ich Anmeldeinformationen, wenn ich einen Sendeport oder einen Empfangsspeicherort konfiguriere?

BizTalk-Lösungen verwenden den Microsoft BizTalk WCF-Custom-Adapter, um WCF-Dienste zu nutzen. Der SAP-Adapter ist eine benutzerdefinierte WCF-Bindung, mit der Clients das SAP-System so nutzen können, als wäre es ein WCF-Dienst. BizTalk-Lösungen nutzen den SAP-Adapter über Sendeports und Empfangsspeicherorte, die für die Verwendung des WCF-Custom-Adapters konfiguriert sind, der wiederum für die Verwendung des SAP-Adapters als Transport konfiguriert ist. Weitere Informationen zum Konfigurieren von Sendeports und Empfangsports (Empfangsspeicherorte), einschließlich der Konfiguration des WCF-Custom-Adapters, finden Sie unter Manuelles Konfigurieren einer physischen Portbindung an den SAP-Adapter.

Sie konfigurieren die SAP-Systemanmeldeinformationen auf der Registerkarte Anmeldeinformationen des Dialogfelds WCF-Benutzerdefinierte Transporteigenschaften für Sendeports oder auf der Registerkarte Andere des Dialogfelds WCF-Benutzerdefinierte Transporteigenschaften für Empfangsspeicherorte. Da der WCF-Custom-Adapter Enterprise Single Sign-On (SSO) unterstützt, können Sie entweder einen Benutzernamen und ein Kennwort oder eine SSO-Partneranwendung auf einer dieser Registerkarten angeben. In den folgenden Themen werden beide Optionen erläutert.

Kennwortanmeldeinformationen für Benutzername

Sie sollten nur einen Benutzernamen und ein Kennwort auf der Registerkarte Anmeldeinformationen (für Sendeports) oder auf der Registerkarte Andere (für Empfangsspeicherorte) im Dialogfeld WCF-Benutzerdefinierte Transporteigenschaften angeben. Dadurch wird Folgendes sichergestellt:

  • Ihre Anmeldeinformationen werden nicht im Uri-Feld des Dialogfelds angezeigt. Dadurch wird verhindert, dass Personen, die Zugriff auf Ihren Bildschirm haben (oder über Berechtigungen verfügen, die es ihnen ermöglichen, die Eigenschaften des Sendeports oder Empfangsspeicherorts anzuzeigen) Ihre Anmeldeinformationen sehen.

  • Ihr Kennwort wird nicht in die Bindungsdatei geschrieben, wenn Sie den Sendeport oder die Empfangsportbindung exportieren. Dadurch wird verhindert, dass benutzer mit Zugriff auf die Datei Ihr Kennwort anzeigen können.

Enterprise Single Sign-On- und SSO-Partneranwendungen

Sie können den WCF-Custom-Adapter so konfigurieren, dass SSO zum Abrufen der Anmeldeinformationen für das SAP-System verwendet wird. SSO verwendet eine Datenbank und ein master Geheimnis, um Benutzeranmeldeinformationen zu verschlüsseln und zu speichern. Es bietet auch Dienste zum Zuordnen von Microsoft Windows-Konten zu sekundären Anmeldeinformationen, die für den Zugriff auf ein Back-End-System verwendet werden. Mithilfe von SSO können Sie ein Windows-Konto einem Benutzernamen und kennwort im SAP-System zuordnen.

SSO verwendet Partneranwendungen und SSO-Zuordnungen , um Anmeldeinformationen dem Back-End-System zuzuordnen. Eine Partneranwendung ist eine logische Entität in SSO, die sich auf ein System oder eine Anwendung bezieht, die sekundäre Anmeldeinformationen erfordert. Eine SSO-Zuordnung ist einer Partneranwendung zugeordnet. Es ordnet ein Windows-Konto den sekundären Anmeldeinformationen zu, die von diesem Konto für den Zugriff auf das Partnersystem oder die Anwendung verwendet werden. Eine SSO-Zuordnung kann einem Windows-Benutzerkonto oder einer Gruppe zugeordnet werden.

Um SSO mit dem SAP-Adapter zu verwenden, müssen Sie die folgenden Schritte ausführen.

  1. Erstellen Sie eine Partneranwendung in SSO, um die Anmeldeinformationen für das Kennwort für den Benutzernamen für das SAP-System zu speichern. Dieser Schritt wird häufig von einer Person mit speziellen SSO-Administratorrechten ausgeführt.

  2. Erstellen Sie eine Benutzer- oder Gruppenzuordnung für die Partneranwendung, die Ihr Windows-Konto dem Benutzernamen und dem Kennwort zuordnet, die zum Herstellen einer Verbindung mit dem SAP-System verwendet werden. Abhängig von Ihrer Installation kann ein Benutzer diesen Schritt ausführen, oder er benötigt eine Person mit speziellen Arten von SSO-Administratorrechten.

Hinweis

Wenn er für einmaliges Anmelden konfiguriert ist, verwendet der WCF-Custom-Adapter dienste, die von SSO bereitgestellt werden, um den SAP-Benutzernamen und das Sap-Kennwort aus der SSO-Datenbank abzurufen. Sie stellt diese (unverschlüsselt) für den SAP-Adapter bereit, sodass der Adapter eine Verbindung mit dem SAP-System herstellen kann. SSO bietet keine Verschlüsselung oder Schutz für die Verbindung zwischen dem SAP-Adapter und dem SAP-System.

Informationen zur Verwendung von SSO, einschließlich Informationen zum Erstellen von Partneranwendungen und SSO-Zuordnungen, finden Sie unter Verwenden des einmaligen Anmeldens. Weitere allgemeine Informationen zum einmaligen Anmelden finden Sie unter Implementieren des einmaligen Anmeldens für Unternehmen.

Die AcceptCredentialsInUri-Bindungseigenschaft

Der SAP-Adapter zeigt die AcceptCredentialsInUri-Bindungseigenschaft an. Diese Eigenschaft bestimmt, ob SAP-Systemanmeldeinformationen im Verbindungs-URI zulässig sind. Standardmäßig ist AcceptCredentialsInUrifalse , und der SAP-Adapter löst eine Ausnahme aus, wenn Anmeldeinformationen im URI enthalten sind.

Diese Eigenschaft wird angezeigt, da es bestimmte Programmierszenarien gibt, in denen die Anmeldeinformationen im Verbindungs-URI vorhanden sein müssen. Dies sollte niemals der Fall sein, wenn Sie einen Sendeport oder einen Empfangsspeicherort konfigurieren oder das Add-In Adapterdienst nutzen verwenden, um Nachrichtenschemas vom SAP-Adapter abzurufen. In solchen Fällen wird empfohlen, AcceptCredentialsInUri nicht auf true festzulegen. Weitere Informationen zu den Eigenschaften der SAP-Adapterbindung finden Sie unter Informationen zu den Bindungseigenschaften des BizTalk-Adapters für ORacle E-Business Suite.

Die AcceptCredentialsInUri-Bindungseigenschaft ist in BizTalk Server auf der Registerkarte Bindung beim Konfigurieren eines WCF-Custom- oder WCF-SAP-Empfangs- oder Sendeports nicht verfügbar. Um den Wert der AcceptCredentialsInUri-Bindungseigenschaft festzulegen, müssen Sie die Adapterbindungsdatei (XML-Datei) öffnen, die erstellt wird, nachdem Sie Metadaten mithilfe des Add-Ins Consume Adapter Service generiert haben, und dann diese Bindungseigenschaft in der Datei suchen. Geben Sie einen geeigneten Wert für diese Bindungseigenschaft an, speichern Sie die Bindungsdatei, und importieren Sie dann die Bindungsdatei in BizTalk Server. Anweisungen finden Sie unter Wiederverwenden von SAP-Adapterbindungen .

Weitere Informationen

Bewährte Methoden zum Schützen des SAP-Adapters
Sichern Ihrer SAP-Anwendung