SQL アダプターと BizTalk Server でのセキュリティ

BizTalk Server管理コンソールを使用して送信ポートまたは受信ポート (場所) を構成する場合、またはアダプター サービス BizTalk プロジェクト アドインを使用して BizTalk ソリューションのメッセージ スキーマを取得する場合は、SQL Server データベースの資格情報を指定する必要があります。 これらの資格情報を安全な方法で指定して、悪意のある可能性のあるアクターに公開されないようにすることが重要です。 このトピックでは、microsoft BizTalk Adapter for SQL Server for BizTalk Server ソリューションの資格情報を最も安全に提供する方法について説明します。

BizTalk ソリューションのコンテキストでのセキュリティに関するより一般的な説明は、広範なトピックであり、このドキュメントの範囲を超えています。 BizTalk ソリューションのセキュリティを強化する方法については、「BizTalk メッセージの セキュリティ保護と保護」を参照してください。

アダプター サービス BizTalk プロジェクト アドインを使用する場合に資格情報を保護する方法

アダプター サービス アドインを使用して BizTalk ソリューションのメッセージ スキーマを取得する場合は、[アダプターの構成] ダイアログ ボックスの [セキュリティ] タブからユーザー名とパスワードを指定する必要があります。 アダプター サービス アドインを使用すると、[ URI の構成 ] フィールドで資格情報を設定することはできません。 これにより、資格情報がクリア テキストで表示されないようにすることで、セキュリティが向上します。 アダプター サービス アドインを使用してメッセージ スキーマを取得する方法 (SQL Server データベースのユーザー名とパスワードを入力する方法など) の詳細については、「SQL アダプターを使用して Visual Studio でSQL Server操作のメタデータを取得する」を参照してください。

送信ポートまたは受信場所を構成するときに資格情報を保護する方法

BizTalk ソリューションでは、Microsoft BizTalk WCF-Custom アダプターを使用して WCF サービスを使用します。 SQL アダプターは、クライアントが WCF サービスであるかのようにSQL Server データベースを使用できるようにする WCF カスタム バインドです。 BizTalk ソリューションでは、送信ポートを介して SQL アダプターを使用し、WCF-Custom アダプターを使用するように構成された受信場所を使用します。 WCF-Custom アダプターは、そのトランスポートとして SQL アダプターを使用するように構成されます。 WCF-Custom アダプターを構成する方法など、送信ポートと受信ポート (受信場所) を構成する方法の詳細については、「 SQL アダプターへの物理ポート バインドを手動で構成する」を参照してください。

SQL Server データベース資格情報は、送信ポートの [WCF-Custom Transport Properties] ダイアログ ボックスの [資格情報] タブ、または受信場所の [WCF-Custom Transport Properties] ダイアログ ボックスの [その他] タブから構成します。 WCF-Custom アダプターは Enterprise Single Sign-On (SSO) をサポートしているため、これらのタブのいずれかでユーザー名とパスワードまたは SSO 関連アプリケーションを指定することもできます。 次のトピックでは、両方のオプションについて説明します。

ユーザー名のパスワード資格情報

ユーザー名とパスワードは、[WCF-Custom Transport Properties] ダイアログ ボックスの [資格情報] タブ (送信ポートの場合) または [その他] タブ (受信場所の場合) からのみ指定する必要があります。 これにより、以下が保証されます。

• 資格情報は、ダイアログ ボックスの [アドレス (URI)] フィールドには表示されません。 これにより、画面にアクセスできるユーザー (または送信ポートの表示や場所のプロパティの受信を可能にするアクセス許可を持つユーザー) に資格情報が表示されなくなります。

• 送信ポートをエクスポートするか、ポート バインドを受信した場合、パスワードはバインド ファイルに書き込まれません。 これにより、ファイルへのアクセス権を持つすべてのユーザーがパスワードを表示できなくなります。

Enterprise Single Sign-On および SSO 関連アプリケーション

エンタープライズ シングル サインオン (SSO) を使用してSQL Server データベースの資格情報を取得するように、WCF-Custom アダプターを構成できます。 SSO では、データベースとマスター シークレットを使用して、ユーザーの資格情報を暗号化して格納します。 また、バックエンド システムへのアクセスに使用されるセカンダリ資格情報に Microsoft Windows アカウントをマップするサービスも提供します。 SSO を使用すると、Windows アカウントを SQL Server データベースのユーザー名とパスワードにマップできます。

SSO では 、関連アプリケーション と SSO マッピング を使用して、資格情報をバックエンド システムにマップします。 関連アプリケーションは、SSO の論理エンティティであり、セカンダリ資格情報を必要とするシステムまたはアプリケーションを参照します。 SSO マッピングは、関連アプリケーションに関連付けられます。 Windows アカウントを、そのアカウントが関連システムまたはアプリケーションにアクセスするために使用するセカンダリ資格情報にマップします。 SSO マッピングは、Windows ユーザー アカウントまたはグループに関連付けることができます。

SQL アダプターで SSO を使用するには、次の操作を行う必要があります。

1. SSO で関連アプリケーションを作成し、SQL Server データベースのユーザー名のパスワード資格情報を保持します。 この手順は、多くの場合、特殊な種類の SSO 管理特権を持つユーザーによって実行されます。

2. Windows アカウントを、SQL Server データベースとの接続を確立するために使用されるユーザー名とパスワードにマップする関連アプリケーションのユーザーまたはグループ マッピングを作成します。 インストールによっては、ユーザーがこの手順を実行できる場合や、特別な種類の SSO 管理特権を持つユーザーが必要になる場合があります。

Note

SSO 用に構成されている場合、WCF-Custom アダプターは SSO によって提供されるサービスを使用して、SSO データベースからSQL Serverユーザー名とパスワードを取得します。 これらは (暗号化されずに) SQL アダプターに提供されるため、アダプターはSQL Server データベースへの接続を開くことができます。 SSO では、SQL アダプターとSQL Server データベース間の接続全体で暗号化や保護は提供されません。

関連アプリケーションと SSO マッピングの作成方法に関する情報など、SSO の使用方法については、「 SSO の使用」を参照してください。 SSO の一般的な情報については、「 Enterprise Single Sign-On の実装」を参照してください。

AcceptCredentialsInUri バインド プロパティ

SQL アダプターは AcceptCredentialsInUri バインド プロパティをサポートしていません。 接続 URI では資格情報が許可されません。

参照

SQL アプリケーションをセキュリティで保護する
SQL アダプターをセキュリティで保護するためのベスト プラクティス