Sicurezza con l'adapter SQL e BizTalk Server
Quando si configura una porta di trasmissione o una porta di ricezione (posizione) usando la console di amministrazione di BizTalk Server o si usa il componente aggiuntivo Del progetto BizTalk del servizio adapter per recuperare gli schemi dei messaggi per una soluzione BizTalk, è necessario specificare le credenziali per il database SQL Server. È importante fornire queste credenziali in modo sicuro per evitare che vengano rivelate agli attori potenzialmente dannosi. Questo argomento illustra come fornire in modo più sicuro le credenziali per l'adapter Microsoft BizTalk per SQL Server per le soluzioni BizTalk Server.
Una discussione più generale sulla sicurezza nel contesto delle soluzioni BizTalk è un argomento esteso ed è oltre l'ambito di questa documentazione. Per informazioni su come rendere più sicure le soluzioni BizTalk, vedere Proteggere e proteggere i messaggi BizTalk.
Come si proteggono le credenziali quando si usa il componente aggiuntivo del progetto BizTalk del servizio adapter?
Quando si usa il componente aggiuntivo Utilizzo servizio adapter per recuperare gli schemi dei messaggi per una soluzione BizTalk, è necessario specificare il nome utente e la password dalla scheda Sicurezza nella finestra di dialogo Configura adattatore . Il componente aggiuntivo Consume Adapter Service non consente di impostare le credenziali nel campo Configura un URI . Ciò migliora la sicurezza impedendo che le credenziali vengano visualizzate in testo chiaro. Per altre informazioni su come recuperare gli schemi dei messaggi usando il componente aggiuntivo Consuma servizio adapter, incluso come immettere un nome utente e una password per il database SQL Server, vedere Ottenere metadati per le operazioni di SQL Server in Visual Studio usando l'adapter SQL.
Come si proteggono le credenziali quando si configura una porta di trasmissione o un percorso di ricezione?
Le soluzioni BizTalk usano l'adapter di WCF-Custom Microsoft BizTalk per usare i servizi WCF. L'adapter SQL è un'associazione personalizzata WCF che consente ai client di utilizzare il database SQL Server come se fosse un servizio WCF. Le soluzioni BizTalk usano l'adapter SQL tramite porte di invio e percorsi di ricezione configurati per l'uso dell'adapter WCF-Custom. L'adattatore WCF-Custom è, a sua volta, configurato per usare l'adapter SQL come trasporto. Per altre informazioni su come configurare le porte di invio e le porte di ricezione (posizioni di ricezione), tra cui come configurare l'adattatore WCF-Custom, vedere Configurare manualmente un'associazione di porte fisiche alla scheda SQL.
È possibile configurare le credenziali del database SQL Server dalla scheda Credenziali della finestra di dialogo Proprietà trasporto personalizzate WCF per le porte di invio o dalla scheda Altre della finestra di dialogo Proprietà trasporto personalizzate WCF per i percorsi di ricezione. Poiché l'adattatore WCF-Custom supporta Enterprise Single Sign-On (SSO), è anche possibile scegliere di specificare un nome utente e una password o un'applicazione di affiliazione SSO in una di queste schede. Gli argomenti seguenti illustrano entrambe le opzioni.
Credenziali password nome utente
È consigliabile specificare solo un nome utente e una password dalla scheda Credenziali (per le porte di invio) o dalla scheda Altre (per le posizioni di ricezione) nella finestra di dialogo Proprietà trasporto personalizzate WCF . Ciò garantisce quanto segue:
Le credenziali non verranno visualizzate nel campo Indirizzo (URI) della finestra di dialogo. Ciò impedisce a coloro che hanno accesso alla schermata (o che dispongono delle autorizzazioni che consentono loro di visualizzare le proprietà della porta di invio o della posizione di ricezione) di visualizzare le credenziali.
La password non verrà scritta nel file di associazione se si esporta la porta di invio o l'associazione di porta di ricezione. Ciò impedisce a chiunque di accedere al file di visualizzare la password.
Applicazioni associate a single Sign-On enterprise e SSO
È possibile configurare l'adattatore WCF-Custom in modo che usi Enterprise Single Sign-On (SSO) per ottenere le credenziali per il database SQL Server. SSO usa un database e un segreto master per crittografare e archiviare le credenziali utente. Fornisce anche servizi per eseguire il mapping degli account Microsoft Windows alle credenziali secondarie usate per accedere a un sistema back-end. Usando l'accesso SSO, è possibile eseguire il mapping di un account Windows a un nome utente e una password nel database SQL Server.
SSO usa applicazioni affiliate e mapping SSO per eseguire il mapping delle credenziali al sistema back-end. Un'applicazione affiliata è un'entità logica in SSO che fa riferimento a un sistema o a un'applicazione che richiede credenziali secondarie. Un mapping SSO è associato a un'applicazione di affiliazione. Esegue il mapping di un account Windows alle credenziali secondarie usate da tale account per accedere al sistema di affiliazione o all'applicazione. Un mapping SSO può essere associato a un account utente di Windows o a un gruppo.
Per usare l'accesso SSO con l'adapter SQL, è necessario eseguire le operazioni seguenti.
Creare un'applicazione affiliata in SSO per contenere le credenziali della password del nome utente per il database SQL Server. Questo passaggio viene spesso eseguito da un utente con tipi speciali di privilegi amministrativi SSO.
Creare un mapping utente o gruppo per l'applicazione di affiliazione che esegue il mapping dell'account Windows al nome utente e alla password usati per stabilire una connessione con il database SQL Server. A seconda dell'installazione, un utente potrebbe essere in grado di eseguire questo passaggio oppure potrebbe richiedere un utente con tipi speciali di privilegi amministrativi SSO.
Nota
Se configurato per l'accesso Single Sign-On, l'adattatore WCF-Custom usa i servizi forniti da SSO per ottenere il nome utente e la password SQL Server dal database SSO. Fornisce questi elementi (non crittografati) all'adapter SQL, in modo che l'adapter possa aprire una connessione al database SQL Server. L'accesso SSO non fornisce alcuna crittografia o protezione tra la scheda SQL e il database di SQL Server.
Per informazioni su come usare l'accesso SSO, incluse informazioni su come creare applicazioni affiliate e mapping SSO, vedere Uso dell'accesso SSO. Per altre informazioni generali sull'accesso Single Sign-On, vedere Implementazione dell'accesso Single Sign-On aziendale.
Proprietà di associazione AcceptCredentialsInUri
L'adapter SQL non supporta la proprietà di associazione AcceptCredentialsInUri . Le credenziali non sono mai consentite nell'URI di connessione.
Vedere anche
Proteggere le applicazioni SQL
Procedure consigliate per proteggere l'adapter SQL
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per