Sicurezza con l'adattatore Oracle Database e BizTalk Server
Quando si configura una porta di trasmissione o una porta di ricezione (posizione) tramite la console di amministrazione di BizTalk Server o si usa il componente aggiuntivo Del progetto BizTalk del servizio adapter per recuperare gli schemi dei messaggi per una soluzione BizTalk, è necessario fornire le credenziali per il database Oracle. È importante fornire queste credenziali in modo sicuro per evitare che vengano rivelate agli attori potenzialmente dannosi. In questo argomento viene illustrato come fornire in modo più sicuro le credenziali per le soluzioni Microsoft BizTalk Adapter for Oracle Database per BizTalk Server.
Una discussione più generale sulla sicurezza nel contesto delle soluzioni BizTalk è un argomento esteso e non rientra nell'ambito di questa documentazione. Per informazioni su come rendere più sicure le soluzioni BizTalk, vedere Proteggere e proteggere i messaggi BizTalk.
Come si proteggono le credenziali quando si utilizza il componente aggiuntivo Del progetto BizTalk del servizio adapter o la procedura guidata Aggiungi metadati dell'adapter?
Quando si usa il componente aggiuntivo Consume Adapter Service per recuperare gli schemi dei messaggi per una soluzione BizTalk, è necessario specificare un nome utente e una password per il database Oracle. È consigliabile eseguire questa operazione solo dalla scheda Sicurezza della finestra di dialogo Configura adattatore . In questo modo si garantisce che le credenziali non vengano visualizzate nel campo Configura un URI della finestra di dialogo Consume Adapter Service Add-in , in cui chiunque abbia accesso alla schermata del computer può leggerli. Per altre informazioni su come recuperare gli schemi dei messaggi usando il componente aggiuntivo Consume Adapter Service , incluso come immettere un nome utente e una password per il database Oracle, vedere Ottenere i metadati per le operazioni Oracle in Visual Studio.
Come si proteggono le credenziali quando si configura una porta di trasmissione o un percorso di ricezione?
Le soluzioni BizTalk usano l'adapter di WCF-Custom Microsoft BizTalk per utilizzare i servizi WCF. L'adapter Oracle Database è un'associazione personalizzata WCF che consente ai client di utilizzare il database Oracle come se fosse un servizio WCF. Le soluzioni BizTalk utilizzano l'adapter Oracle Database tramite porte di trasmissione e percorsi di ricezione configurati per l'uso dell'adattatore WCF-Custom, ovvero configurato per l'uso dell'adapter Oracle Database come trasporto. Per altre informazioni su come configurare le porte di trasmissione e le porte di ricezione (percorsi di ricezione), inclusa la configurazione dell'adattatore WCF-Custom, vedere Configurare manualmente un'associazione di porte fisiche all'adapter di database Oracle.
È possibile configurare le credenziali del database Oracle dalla scheda Credenziali della finestra di dialogo Proprietà trasporto WCF-Custom per le porte di trasmissione o dalla scheda Altro della finestra di dialogo Proprietà trasporto WCF-Custom per i percorsi di ricezione. Poiché l'adattatore WCF-Custom supporta Enterprise Single Sign-On (SSO), è possibile scegliere di specificare un nome utente e una password o un'applicazione affiliata SSO in una di queste schede. Negli argomenti seguenti vengono illustrate entrambe le opzioni.
Credenziali password nome utente
È consigliabile specificare solo un nome utente e una password dalla scheda Credenziali (per le porte di trasmissione) o dalla scheda Altro (per i percorsi di ricezione) nella finestra di dialogo Proprietà trasporto PERSONALIZZATE WCF . In questo modo si garantisce quanto segue:
Le credenziali non verranno visualizzate nel campo Indirizzo (URI) della finestra di dialogo. Ciò impedisce a coloro che hanno accesso alla schermata (o che dispongono delle autorizzazioni che consentono loro di visualizzare le proprietà della porta di trasmissione o della posizione di ricezione) di visualizzare le credenziali.
La password non verrà scritta nel file di associazione se si esporta la porta di trasmissione o l'associazione di porta di ricezione. Ciò impedisce a chiunque di accedere al file di visualizzare la password.
Applicazioni affiliate Enterprise Single Sign-On e SSO
È possibile configurare l'adapter WCF-Custom per l'uso dell'accesso Single Sign-On (SSO) aziendale per ottenere le credenziali per il database Oracle. SSO usa un database e un master secret per crittografare e archiviare le credenziali utente. Fornisce anche servizi per eseguire il mapping degli account di Microsoft Windows alle credenziali secondarie usate per accedere a un sistema back-end. Usando l'accesso Single Sign-On, è possibile eseguire il mapping di un account di Windows a un nome utente e una password nel database Oracle.
SSO usa applicazioni affiliate e mapping SSO per eseguire il mapping delle credenziali al sistema back-end. Un'applicazione affiliata è un'entità logica in SSO che fa riferimento a un sistema o a un'applicazione che richiede credenziali secondarie. Un mapping SSO è associato a un'applicazione affiliata. Esegue il mapping di un account di Windows alle credenziali secondarie usate da tale account per accedere al sistema o all'applicazione affiliata. Un mapping SSO può essere associato a un account utente di Windows o a un gruppo.
Per usare l'accesso Single Sign-On con l'adapter Oracle Database, è necessario eseguire le operazioni seguenti.
Creare un'applicazione affiliata in SSO per contenere le credenziali della password del nome utente per il database Oracle. Questo passaggio viene spesso eseguito da un utente con tipi speciali di privilegi amministrativi SSO.
Creare un mapping di utenti o gruppi per l'applicazione affiliata che esegue il mapping dell'account di Windows al nome utente e alla password usati per stabilire una connessione con il database Oracle. A seconda dell'installazione, un utente potrebbe essere in grado di eseguire questo passaggio o potrebbe richiedere un utente con tipi speciali di privilegi amministrativi SSO.
Nota
Quando è configurato per l'accesso Single Sign-On, l'adattatore WCF-Custom usa i servizi forniti da SSO per ottenere il nome utente e la password Oracle dal database SSO. Fornisce queste (non crittografate) all'adapter Oracle Database, in modo che l'adattatore possa aprire una connessione al database Oracle. L'accesso Single Sign-On non fornisce alcuna crittografia o protezione attraverso la connessione tra l'adattatore Oracle Database e il database Oracle.
Per informazioni su come usare l'accesso Single Sign-On, incluse informazioni su come creare applicazioni affiliate e mapping SSO, vedere Uso dell'accesso Single Sign-On. Per altre informazioni generali sull'accesso Single Sign-On, vedere Implementazione dell'accesso Single Sign-On aziendale.
Proprietà di associazione AcceptCredentialsInUri
L'adattatore Oracle Database visualizza la proprietà di associazione AcceptCredentialsInUri . Questa proprietà determina se le credenziali del database Oracle sono consentite nell'URI di connessione. Per impostazione predefinita, AcceptCredentialsInUri è false e l'adapter Oracle Database genera un'eccezione se le credenziali sono incluse nell'URI.
Questa proprietà viene visualizzata perché esistono alcuni scenari di programmazione che richiedono che le credenziali siano presenti nell'URI di connessione. Questo non deve mai essere il caso in cui si configura una porta di trasmissione o un percorso di ricezione o quando si usa il componente aggiuntivo Consume Adapter Service per recuperare gli schemi dei messaggi dall'adapter Oracle Database. È consigliabile non impostare AcceptCredentialsInUri su true. Per altre informazioni sulle proprietà di associazione dell'adattatore Oracle Database, vedere Configurare le proprietà di associazione per Oracle Database.
La proprietà di associazione AcceptCredentialsInUri non è disponibile in BizTalk Server nella scheda Binding durante la configurazione di un WCF-Custom o WCF-OracleDB ricezione o porta di trasmissione. Per impostare il valore della proprietà di associazione AcceptCredentialsInUri , è necessario aprire il file di associazioni dell'adapter (file XML) creato dopo aver generato i metadati usando il componente aggiuntivo Consume Adapter Service e quindi individuare questa proprietà di associazione nel file. Specificare un valore appropriato per questa proprietà di associazione, salvare il file di associazione e quindi importare il file di associazione in BizTalk Server. Vedere Riutilizzare le associazioni degli adattatori SQL.
Vedere anche
Proteggere le applicazioni del database Oracle
Procedure consigliate
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per