Seguridad con el adaptador de SQL y BizTalk Server
Al configurar un puerto de envío o un puerto de recepción (ubicación) mediante la consola de administración de BizTalk Server o usar el Complemento de proyecto de BizTalk del servicio de adaptador de consumo para recuperar esquemas de mensajes para una solución de BizTalk, debe proporcionar credenciales para la base de datos de SQL Server. Es importante proporcionar estas credenciales de forma segura para evitar que se revelen a actores potencialmente malintencionados. En este tema se describe cómo proporcionar credenciales de forma más segura para el adaptador de Microsoft BizTalk para SQL Server para BizTalk Server soluciones.
Una explicación más general de la seguridad en el contexto de las soluciones de BizTalk es un tema amplio y está fuera del ámbito de esta documentación. Para obtener información sobre cómo puede proteger las soluciones de BizTalk, consulte Proteger y proteger los mensajes de BizTalk.
¿Cómo puedo proteger las credenciales cuando uso el complemento de proyecto de BizTalk Para consumir el servicio adaptador?
Al usar el complemento consumir servicio de adaptador para recuperar esquemas de mensaje para una solución de BizTalk, debe proporcionar el nombre de usuario y la contraseña de la pestaña Seguridad del cuadro de diálogo Configurar adaptador . El complemento Consumir servicio adaptador no le permitirá establecer credenciales en el campo Configurar un URI . Esto mejora la seguridad evitando que las credenciales aparezcan en texto no cifrado. Para obtener más información sobre cómo recuperar esquemas de mensajes mediante el complemento consumir servicio adaptador, incluido cómo escribir un nombre de usuario y una contraseña para la base de datos de SQL Server, vea Obtener metadatos para SQL Server operaciones en Visual Studio mediante el adaptador de SQL.
¿Cómo puedo proteger las credenciales al configurar un puerto de envío o una ubicación de recepción?
Las soluciones de BizTalk usan el adaptador de WCF-Custom de Microsoft BizTalk para consumir servicios WCF. El adaptador de SQL es un enlace personalizado de WCF que permite a los clientes consumir la base de datos SQL Server como si fuera un servicio WCF. Las soluciones de BizTalk consumen el adaptador de SQL a través de puertos de envío y ubicaciones de recepción configuradas para usar el adaptador de WCF-Custom. El adaptador de WCF-Custom es, a su vez, configurado para usar el adaptador de SQL como su transporte. Para obtener más información sobre cómo configurar puertos de envío y recepción (ubicaciones de recepción), incluido cómo configurar el adaptador de WCF-Custom, consulte Configuración manual de un enlace de puerto físico al adaptador de SQL.
Las credenciales de base de datos de SQL Server se configuran desde la pestaña Credenciales del cuadro de diálogo Propiedades de transporte personalizadas de WCF para puertos de envío o desde la pestaña Otros del cuadro de diálogo Propiedades de transporte personalizadas de WCF para ubicaciones de recepción. Dado que el adaptador de WCF-Custom admite enterprise Single Sign-On (SSO), también puede proporcionar un nombre de usuario y una contraseña o una aplicación afiliada de SSO en cualquiera de estas pestañas. En los temas siguientes se describen ambas opciones.
Credenciales de contraseña de nombre de usuario
Solo debe proporcionar un nombre de usuario y una contraseña desde la pestaña Credenciales (para puertos de envío) o la pestaña Otros (para ubicaciones de recepción) en el cuadro de diálogo Propiedades de transporte personalizadas de WCF . Esto garantiza lo siguiente:
Las credenciales no se mostrarán en el campo Dirección (URI) del cuadro de diálogo. Esto impide que aquellos que tengan acceso a la pantalla (o que tengan permisos que les permitan ver el puerto de envío o recibir propiedades de ubicación) vean sus credenciales.
La contraseña no se escribirá en el archivo de enlace si exporta el puerto de envío o el enlace de puerto de recepción. Esto impide que cualquier persona con acceso al archivo vea la contraseña.
Enterprise Single Sign-On y aplicaciones afiliadas de SSO
Puede configurar el adaptador de WCF-Custom para que use el inicio de sesión único (SSO) de Empresa para obtener las credenciales de la base de datos de SQL Server. El inicio de sesión único usa una base de datos y un secreto maestro para cifrar y almacenar las credenciales de usuario. También proporciona servicios para asignar cuentas de Microsoft Windows a credenciales secundarias que se usan para acceder a un sistema back-end. Mediante el inicio de sesión único, puede asignar una cuenta de Windows a un nombre de usuario y una contraseña en la base de datos de SQL Server.
El inicio de sesión único usa aplicaciones afiliadas y asignaciones de SSO para asignar credenciales al sistema back-end. Una aplicación afiliada es una entidad lógica en SSO que hace referencia a un sistema o a una aplicación que requiere credenciales secundarias. Una asignación de SSO está asociada a una aplicación afiliada. Asigna una cuenta de Windows a las credenciales secundarias usadas por esa cuenta para acceder al sistema o aplicación afiliados. Una asignación de SSO se puede asociar a una cuenta de usuario de Windows o a un grupo.
Para usar el inicio de sesión único con el adaptador de SQL, debe hacer lo siguiente.
Cree una aplicación afiliada en SSO para contener las credenciales de contraseña de nombre de usuario para la base de datos de SQL Server. A menudo, este paso lo realiza alguien con tipos especiales de privilegios administrativos de SSO.
Cree una asignación de usuario o grupo para la aplicación afiliada que asigne su cuenta de Windows al nombre de usuario y la contraseña que se usan para establecer una conexión con la base de datos de SQL Server. En función de la instalación, es posible que un usuario pueda realizar este paso, o podría requerir que alguien con tipos especiales de privilegios administrativos de SSO.
Nota
Cuando se configura para SSO, el adaptador de WCF-Custom usa los servicios proporcionados por SSO para obtener el nombre de usuario y la contraseña de SQL Server de la base de datos de SSO. Proporciona estos (sin cifrar) al adaptador de SQL para que el adaptador pueda abrir una conexión a la base de datos de SQL Server. El inicio de sesión único no proporciona cifrado ni protección entre la conexión entre el adaptador de SQL y la base de datos de SQL Server.
Para obtener información sobre cómo usar el inicio de sesión único, incluida la información sobre cómo crear aplicaciones afiliadas y asignaciones de SSO, consulte Uso del inicio de sesión único. Para obtener más información general sobre el inicio de sesión único, consulte Implementación del inicio de sesión único de Enterprise.
La propiedad Binding AcceptCredentialsInUri
El adaptador de SQL no admite la propiedad de enlace AcceptCredentialsInUri . Las credenciales nunca se permiten en el URI de conexión.
Consulte también
Proteger las aplicaciones SQL
Procedimientos recomendados para proteger el adaptador de SQL
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de