Sicherheit des SQL-Adapters und von BizTalk Server
Wenn Sie einen Sendeport oder einen Empfangsport (Speicherort) mithilfe der BizTalk Server-Verwaltungskonsole konfigurieren oder das BizTalk-Projekt-Add-In Zum Abrufen von Nachrichtenschemas für eine BizTalk-Lösung verwenden, müssen Sie Anmeldeinformationen für die SQL Server-Datenbank angeben. Es ist wichtig, diese Anmeldeinformationen auf sichere Weise zur Verfügung zu stellen, um zu verhindern, dass sie potenziell böswilligen Akteuren offenbart werden. In diesem Thema wird erläutert, wie Sie Anmeldeinformationen für den Microsoft BizTalk-Adapter für SQL Server für BizTalk Server Lösungen am sichersten bereitstellen.
Eine allgemeinere Diskussion der Sicherheit im Kontext von BizTalk-Lösungen ist ein umfangreiches Thema und sprengt den Rahmen dieser Dokumentation. Informationen dazu, wie Sie Ihre BizTalk-Lösungen sicherer machen können, finden Sie unter Sichern und Schützen Ihrer BizTalk-Nachrichten.
Wie kann ich Anmeldeinformationen schützen, wenn ich das BizTalk-Projekt-Add-In Use Adapter Service verwende?
Wenn Sie das Add-In Adapterdienst nutzen verwenden, um Nachrichtenschemas für eine BizTalk-Lösung abzurufen, müssen Sie den Benutzernamen und das Kennwort auf der Registerkarte Sicherheit im Dialogfeld Adapter konfigurieren angeben. Mit dem Add-In Adapterdienst nutzen können Sie keine Anmeldeinformationen im Feld URI konfigurieren festlegen. Dadurch wird die Sicherheit verbessert, indem verhindert wird, dass Anmeldeinformationen im Klartext angezeigt werden. Weitere Informationen zum Abrufen von Nachrichtenschemas mithilfe des Add-Ins Verbrauchsadapterdienst, einschließlich der Eingabe eines Benutzernamens und kennworts für die SQL Server-Datenbank, finden Sie unter Abrufen von Metadaten für SQL Server Vorgänge in Visual Studio mithilfe des SQL-Adapters.
Wie kann ich Anmeldeinformationen schützen, wenn ich einen Sendeport oder einen Empfangsspeicherort konfiguriere?
BizTalk-Lösungen verwenden den Microsoft BizTalk-WCF-Custom-Adapter, um WCF-Dienste zu nutzen. Der SQL-Adapter ist eine benutzerdefinierte WCF-Bindung, mit der Clients die SQL Server Datenbank so nutzen können, als wäre es ein WCF-Dienst. BizTalk-Lösungen nutzen den SQL-Adapter über Sendeports und Empfangsspeicherorte, die für die Verwendung des WCF-Custom-Adapters konfiguriert sind. Der WCF-Custom-Adapters ist wiederum so konfiguriert, dass er den SQL-Adapter als Transport verwendet. Weitere Informationen zum Konfigurieren von Sende- und Empfangsports (Empfangsspeicherorten), einschließlich des Konfigurierens des WCF-Custom-Adapters, finden Sie unter Manuelles Konfigurieren einer physischen Portbindung an den SQL-Adapter.
Sie konfigurieren die SQL Server Datenbankanmeldeinformationen auf der Registerkarte Anmeldeinformationen des Dialogfelds WCF-Benutzerdefinierte Transporteigenschaften für Sendeports oder auf der Registerkarte Andere des Dialogfelds WCF-Benutzerdefinierte Transporteigenschaften für Empfangsspeicherorte. Da der WCF-Custom-Adapter Enterprise Single Sign-On (SSO) unterstützt, können Sie auch entweder einen Benutzernamen und ein Kennwort oder eine SSO-Partneranwendung auf einer dieser Registerkarten angeben. In den folgenden Themen werden beide Optionen erläutert.
Anmeldeinformationen zum Benutzernamenkennwort
Sie sollten nur einen Benutzernamen und ein Kennwort auf der Registerkarte Anmeldeinformationen (für Sendeports) oder auf der Registerkarte Andere (für Empfangsspeicherorte) im Dialogfeld WCF-Custom Transport Properties angeben. Dadurch wird Folgendes sichergestellt:
Ihre Anmeldeinformationen werden nicht im Feld Adresse (URI) des Dialogfelds angezeigt. Dadurch wird verhindert, dass diejenigen, die Zugriff auf Ihren Bildschirm haben (oder über Berechtigungen verfügen, die es ihnen ermöglichen, die Eigenschaften des Sendeports oder des Empfangsspeicherorts anzuzeigen), Ihre Anmeldeinformationen sehen.
Ihr Kennwort wird nicht in die Bindungsdatei geschrieben, wenn Sie den Sendeport oder die Empfangsportbindung exportieren. Dadurch wird verhindert, dass benutzer mit Zugriff auf die Datei Ihr Kennwort anzeigen.
Enterprise Single Sign-On- und SSO-Partneranwendungen
Sie können den WCF-Custom-Adapter so konfigurieren, dass er enterprise Single Sign-On (SSO) verwendet, um die Anmeldeinformationen für die SQL Server-Datenbank abzurufen. SSO verwendet eine Datenbank und ein master Geheimnis zum Verschlüsseln und Speichern von Benutzeranmeldeinformationen. Es bietet auch Dienste zum Zuordnen von Microsoft Windows-Konten zu sekundären Anmeldeinformationen, die für den Zugriff auf ein Back-End-System verwendet werden. Mithilfe des einmaligen Anmeldens können Sie ein Windows-Konto einem Benutzernamen und einem Kennwort für die SQL Server Datenbank zuordnen.
SSO verwendet Partneranwendungen und SSO-Zuordnungen , um Anmeldeinformationen dem Back-End-System zuzuordnen. Eine Partneranwendung ist eine logische Entität in SSO, die auf ein System oder eine Anwendung verweist, die sekundäre Anmeldeinformationen erfordert. Eine SSO-Zuordnung ist einer Partneranwendung zugeordnet. Es ordnet ein Windows-Konto den sekundären Anmeldeinformationen zu, die von diesem Konto für den Zugriff auf das Partnersystem oder die Partneranwendung verwendet werden. Eine SSO-Zuordnung kann einem Windows-Benutzerkonto oder einer Gruppe zugeordnet werden.
Um einmaliges Anmelden mit dem SQL-Adapter zu verwenden, müssen Sie die folgenden Schritte ausführen.
Erstellen Sie eine Partneranwendung in einmaligem Anmelden, um die Kennwortanmeldeinformationen für den Benutzernamen für die SQL Server-Datenbank zu speichern. Dieser Schritt wird häufig von jemandem ausgeführt, der spezielle Arten von SSO-Administratorrechten hat.
Erstellen Sie eine Benutzer- oder Gruppenzuordnung für die Partneranwendung, die Ihr Windows-Konto dem Benutzernamen und dem Kennwort ordnet, die zum Herstellen einer Verbindung mit der SQL Server-Datenbank verwendet werden. Je nach Installation kann ein Benutzer diesen Schritt ausführen, oder er benötigt eine Person mit speziellen Arten von SSO-Administratorrechten.
Hinweis
Wenn er für einmaliges Anmelden konfiguriert ist, verwendet der WCF-Custom-Adapter dienste, die von SSO bereitgestellt werden, um den SQL Server Benutzernamen und das Kennwort aus der SSO-Datenbank abzurufen. Sie stellt diese (unverschlüsselt) für den SQL-Adapter bereit, sodass der Adapter eine Verbindung mit der SQL Server-Datenbank herstellen kann. Einmaliges Anmelden bietet keine Verschlüsselung oder Schutz für die Verbindung zwischen dem SQL-Adapter und der SQL Server-Datenbank.
Informationen zur Verwendung des einmaligen Anmeldens, einschließlich Informationen zum Erstellen von Partneranwendungen und SSO-Zuordnungen, finden Sie unter Verwenden des einmaligen Anmeldens. Weitere allgemeine Informationen zum einmaligen Anmelden finden Sie unter Implementieren des einmaligen Anmeldens für Unternehmen.
Die AcceptCredentialsInUri-Bindungseigenschaft
Der SQL-Adapter unterstützt keine AcceptCredentialsInUri-Bindungseigenschaft . Anmeldeinformationen sind im Verbindungs-URI nie zulässig.
Weitere Informationen
Sichern Ihrer SQL-Anwendungen
Bewährte Methoden zum Schützen des SQL-Adapters
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für