Fonctionnalités de sécurité du fournisseur de données pour Informix

Vous pouvez utiliser le fournisseur OLE DB pour Informix (fournisseur de données) pour connecter des applications consommateur de données Windows aux serveurs de gestion de base de données relationnelle IBM Informix distants. Le fournisseur de données fonctionne comme un client demandeur d’application DRDA (Distributed Relational Database Architecture) qui prend en charge le protocole DRDA et les formats compatibles avec les produits serveur IBM Informix fonctionnant en tant que serveurs d’applications DRDA.

Vous pouvez utiliser le fournisseur de données en envoyant des instructions de langage de requête structurées. Ces instructions comprennent des instructions de langage de définition de données (DDL) pour l’administration, et des instructions de gestion de manipulation des données pour les opérations de lecture et d’écriture. Le fournisseur de données connecte les applications clientes Windows aux bases de données serveur Informix via un protocole de contrôle de transmission sur un réseau de protocole Internet (TCP/IP) qui utilise une ou plusieurs des fonctionnalités de sécurité facultatives décrites plus loin dans cette rubrique.

Sécurité

Compte d’utilisateur

Les outils du fournisseur de données, les outils d’accès aux données et les liaisons de données s’exécutent dans le contexte d’un compte d’utilisateur. Le compte d’utilisateur doit être membre des groupes locaux Administrateurs HIS et Utilisateurs du runtime HIS.

Liste de contrôle d’accès de dossier

Le compte d’utilisateur a besoin des paramètres de liste de contrôle d’accès de dossier associés aux groupes locaux Administrateurs HIS et Utilisateurs du runtime HIS.

Program Files\Microsoft Host Integration Server 2020
Program Files\Microsoft Host Integration Server 2020\system
Program Files\Microsoft Host Integration Server 2020\ SysWOW64 Program Files\Microsoft Host Integration Server 2020\traces
Documents\Host Integration Server\Data Sources

Protection

Data Tools stocke les informations d’identification d’authentification en texte brut dans universal Data Link (UDL)

Data Links stocke les informations d’identification d’authentification (nom d’utilisateur et mot de passe) en texte brut dans le fichier Universal Data Link (UDL). Nous vous recommandons de configurer les fournisseurs de données pour utiliser enterprise single Sign-On (ESSO), qui stocke en toute sécurité les mappages des comptes Windows Active Directory vers les informations d’identification IBM Informix. Les fournisseurs de données récupèrent ces mappages au moment de l’exécution pour authentifier en toute sécurité les utilisateurs Windows auprès des serveurs de base de données IBM Informix distants. Vous devez exécuter le fournisseur de données in-process avec le consommateur de données et les outils de données.

Le fournisseur de données se connecte en utilisant un mot de passe et un nom d’utilisateur non chiffrés en texte brut

Le fournisseur de données se connecte aux ordinateurs serveur Informix distants via un réseau TCP/IP à l’aide de l’authentification de base, où le nom d’utilisateur et le mot de passe ne sont pas chiffrés et sont envoyés en texte brut. Nous vous recommandons de configurer le fournisseur de données pour utiliser le chiffrement d’authentification à l’aide de SSL (Secure Sockets Layer) V3.0 ou TLS (Transport Layer Security) V2.0.

Le fournisseur de données envoie et reçoit des données non chiffrées

Le fournisseur de données envoie et reçoit des données non chiffrées. Nous vous recommandons de configurer le fournisseur de données pour utiliser le chiffrement des données à l’aide de SSL (Secure Sockets Layer) V3.0 ou TLS (Transport Layer Security) V2.0.

Les consommateurs de données et les outils de données lisent et écrivent les fichiers de connexion vers et à partir de dossiers non sécurisés

Les consommateurs de données et les outils de données peuvent lire et écrire des fichiers de connexion dans des dossiers non sécurisés. Vous devez stocker les fichiers UDL (Universal Data Link) dans le répertoire Host Integration Server\Data Sources ou dans celui d'un programme, puis sécuriser le dossier avec des droits d'administrateur local. Vous devez conserver les informations de connexion dans les banques d'informations sécurisées des consommateurs de données et des outils de données, puis exécuter le fournisseur de données in-process avec le consommateur de données et les outils de données.

Les consommateurs de données et les outils de données peuvent demander des connexions avec des propriétés non valides

Les consommateurs de données et les outils de données peuvent demander des connexions avec des valeurs de propriété de connexion non valides. Vous devez utiliser les consommateurs de données qui créent des connexions en utilisant les objets de connexion du fournisseur de données au lieu de passer des paires nom/valeur d'arguments de chaîne de connexion non vérifiées. Vous devez définir une valeur de délai de connexion pour annuler les tentatives de connexion non valides.

Les consommateurs de données et les outils de données peuvent demander des commandes avec des données non valides

Les consommateurs de données et les outils de données peuvent demander des commandes avec des données non valides. Vous devez utiliser les consommateurs de données qui créent des commandes en utilisant la commande du fournisseur de données avec des objets de paramètre pour valider les types de paramètre, au lieu de passer des chaînes de commande non vérifiées avec des valeurs de données insérées. Vous devez définir une valeur de délai d’expiration des commandes pour annuler les tentatives de commande non valides. . Vous devez définir une valeur de délai d’expiration des commandes pour annuler les tentatives de commande non valides. Vous devez utiliser l'unité de travail distribuée (DUW) DRDA à la place de l'unité de travail distante (RUW) pour protéger les consommateurs de données utilisant des transactions de validation en deux phases.