Sicherheit mit dem Oracle Database-Adapter und BizTalk Server
Wenn Sie einen Sendeport oder einen Empfangsport (Speicherort) mithilfe der BizTalk Server-Verwaltungskonsole konfigurieren oder das BizTalk-Projekt-Add-In zum Abrufen von Nachrichtenschemas für eine BizTalk-Lösung verwenden, müssen Sie Anmeldeinformationen für die Oracle-Datenbank angeben. Es ist wichtig, diese Anmeldeinformationen auf sichere Weise zur Verfügung zu stellen, um zu verhindern, dass sie potenziell böswilligen Akteuren offengelegt werden. In diesem Thema wird erläutert, wie Anmeldeinformationen für die Lösungen microsoft BizTalk Adapter for Oracle Database for BizTalk Server am sichersten bereitgestellt werden.
Eine allgemeinere Diskussion der Sicherheit im Kontext von BizTalk-Lösungen ist ein umfangreiches Thema und geht über den Rahmen dieser Dokumentation hinaus. Informationen dazu, wie Sie Ihre BizTalk-Lösungen sicherer machen können, finden Sie unter Sichern und Schützen Ihrer BizTalk-Nachrichten.
Wie schütze ich Anmeldeinformationen, wenn ich das BizTalk-Projekt-Add-In zum Nutzen des Adapterdiensts oder den Assistenten zum Hinzufügen von Adaptermetadaten verwende?
Wenn Sie das Add-In Adapterdienst nutzen verwenden, um Nachrichtenschemas für eine BizTalk-Lösung abzurufen, müssen Sie einen Benutzernamen und ein Kennwort für die Oracle-Datenbank angeben. Sie sollten dies nur über die Registerkarte Sicherheit im Dialogfeld Adapter konfigurieren tun. Dadurch wird sichergestellt, dass Ihre Anmeldeinformationen nicht im Feld URI konfigurieren des Dialogfelds Adapterdienst-Add-In nutzen angezeigt werden, wo alle Benutzer mit Zugriff auf ihren Computerbildschirm sie lesen können. Weitere Informationen zum Abrufen von Nachrichtenschemas mithilfe des Verbrauchsadapterdienst-Add-Ins, einschließlich der Eingabe eines Benutzernamens und kennworts für die Oracle-Datenbank, finden Sie unter Abrufen von Metadaten für Oracle-Vorgänge in Visual Studio.
Wie schütze ich Anmeldeinformationen, wenn ich einen Sendeport oder einen Empfangsspeicherort konfiguriere?
BizTalk-Lösungen verwenden den Microsoft BizTalk WCF-Custom-Adapter, um WCF-Dienste zu nutzen. Der Oracle Database-Adapter ist eine benutzerdefinierte WCF-Bindung, mit der Clients die Oracle-Datenbank wie einen WCF-Dienst nutzen können. BizTalk-Lösungen nutzen den Oracle Database-Adapter über Sendeports und Empfangsspeicherorte, die für die Verwendung des WCF-Custom-Adapters konfiguriert sind, der wiederum für die Verwendung des Oracle Database-Adapters als Transport konfiguriert ist. Weitere Informationen zum Konfigurieren von Sendeports und Empfangsports (Empfangsspeicherorte), einschließlich der Konfiguration des WCF-Custom-Adapters, finden Sie unter Manuelles Konfigurieren einer physischen Portbindung an den Oracle-Datenbankadapter.
Sie konfigurieren die Oracle-Datenbankanmeldeinformationen auf der Registerkarte Anmeldeinformationen des Dialogfelds WCF-Benutzerdefinierte Transporteigenschaften für Sendeports oder auf der Registerkarte Andere des Dialogfelds WCF-Benutzerdefinierte Transporteigenschaften für Empfangsspeicherorte. Da der WCF-Custom-Adapter Enterprise Single Sign-On (SSO) unterstützt, können Sie entweder einen Benutzernamen und ein Kennwort oder eine SSO-Partneranwendung auf einer dieser Registerkarten angeben. In den folgenden Themen werden beide Optionen erläutert.
Kennwortanmeldeinformationen für Benutzername
Sie sollten nur einen Benutzernamen und ein Kennwort auf der Registerkarte Anmeldeinformationen (für Sendeports) oder auf der Registerkarte Andere (für Empfangsspeicherorte) im Dialogfeld WCF-Benutzerdefinierte Transporteigenschaften angeben. Dadurch wird Folgendes sichergestellt:
Ihre Anmeldeinformationen werden nicht im Feld Adresse (URI) des Dialogfelds angezeigt. Dadurch wird verhindert, dass Personen, die Zugriff auf Ihren Bildschirm haben (oder über Berechtigungen verfügen, die es ihnen ermöglichen, die Eigenschaften des Sendeports oder Empfangsspeicherorts anzuzeigen) Ihre Anmeldeinformationen sehen.
Ihr Kennwort wird nicht in die Bindungsdatei geschrieben, wenn Sie den Sendeport oder die Empfangsportbindung exportieren. Dadurch wird verhindert, dass benutzer mit Zugriff auf die Datei Ihr Kennwort anzeigen können.
Enterprise Single Sign-On- und SSO-Partneranwendungen
Sie können den WCF-Custom-Adapter so konfigurieren, dass das einmalige Anmelden (Single Sign-On, SSO) von Enterprise verwendet wird, um die Anmeldeinformationen für die Oracle-Datenbank abzurufen. SSO verwendet eine Datenbank und ein master Geheimnis, um Benutzeranmeldeinformationen zu verschlüsseln und zu speichern. Es bietet auch Dienste zum Zuordnen von Microsoft Windows-Konten zu sekundären Anmeldeinformationen, die für den Zugriff auf ein Back-End-System verwendet werden. Mithilfe von SSO können Sie ein Windows-Konto einem Benutzernamen und kennwort in der Oracle-Datenbank zuordnen.
SSO verwendet Partneranwendungen und SSO-Zuordnungen , um Anmeldeinformationen dem Back-End-System zuzuordnen. Eine Partneranwendung ist eine logische Entität in SSO, die sich auf ein System oder eine Anwendung bezieht, die sekundäre Anmeldeinformationen erfordert. Eine SSO-Zuordnung ist einer Partneranwendung zugeordnet. Es ordnet ein Windows-Konto den sekundären Anmeldeinformationen zu, die von diesem Konto für den Zugriff auf das Partnersystem oder die Anwendung verwendet werden. Eine SSO-Zuordnung kann einem Windows-Benutzerkonto oder einer Gruppe zugeordnet werden.
Um einmaliges Anmelden mit dem Oracle Database-Adapter zu verwenden, müssen Sie die folgenden Schritte ausführen.
Erstellen Sie eine Partneranwendung in SSO, die die Anmeldeinformationen für das Kennwort für den Benutzernamen für die Oracle-Datenbank enthält. Dieser Schritt wird häufig von einer Person mit speziellen SSO-Administratorrechten ausgeführt.
Erstellen Sie eine Benutzer- oder Gruppenzuordnung für die Partneranwendung, die Ihr Windows-Konto dem Benutzernamen und dem Kennwort zuordnet, die zum Herstellen einer Verbindung mit der Oracle-Datenbank verwendet werden. Abhängig von Ihrer Installation kann ein Benutzer diesen Schritt ausführen, oder er benötigt eine Person mit speziellen Arten von SSO-Administratorrechten.
Hinweis
Wenn er für einmaliges Anmelden konfiguriert ist, verwendet der WCF-Custom-Adapter dienste, die von SSO bereitgestellt werden, um den Oracle-Benutzernamen und das Kennwort aus der SSO-Datenbank abzurufen. Sie stellt diese (unverschlüsselt) für den Oracle Database-Adapter bereit, damit der Adapter eine Verbindung mit der Oracle-Datenbank herstellen kann. SSO bietet keine Verschlüsselung oder Keinen Schutz für die Verbindung zwischen dem Oracle Database-Adapter und der Oracle-Datenbank.
Informationen zur Verwendung von SSO, einschließlich Informationen zum Erstellen von Partneranwendungen und SSO-Zuordnungen, finden Sie unter Verwenden des einmaligen Anmeldens. Weitere allgemeine Informationen zum einmaligen Anmelden finden Sie unter Implementieren des einmaligen Anmeldens für Unternehmen.
Die AcceptCredentialsInUri-Bindungseigenschaft
Der Oracle Database-Adapter zeigt die AcceptCredentialsInUri-Bindungseigenschaft an. Diese Eigenschaft bestimmt, ob Oracle-Datenbankanmeldeinformationen im Verbindungs-URI zulässig sind. AcceptCredentialsInUri ist standardmäßig false, und der Oracle Database-Adapter löst eine Ausnahme aus, wenn Anmeldeinformationen im URI enthalten sind.
Diese Eigenschaft wird angezeigt, da es bestimmte Programmierszenarien gibt, in denen die Anmeldeinformationen im Verbindungs-URI vorhanden sein müssen. Dies sollte niemals der Fall sein, wenn Sie einen Sendeport oder einen Empfangsspeicherort konfigurieren oder wenn Sie das Add-In Adapterdienst nutzen verwenden, um Nachrichtenschemas vom Oracle Database-Adapter abzurufen. Es wird empfohlen, AcceptCredentialsInUri nicht auf true festzulegen. Weitere Informationen zu den Bindungseigenschaften des Oracle Database-Adapters finden Sie unter Konfigurieren der Bindungseigenschaften für Oracle Database.
Die AcceptCredentialsInUri-Bindungseigenschaft ist in BizTalk Server auf der Registerkarte Bindung beim Konfigurieren eines WCF-Custom oder WCF-OracleDB Empfangs- oder Sendeports nicht verfügbar. Um den Wert der AcceptCredentialsInUri-Bindungseigenschaft festzulegen, müssen Sie die Adapterbindungsdatei (XML-Datei) öffnen, die erstellt wird, nachdem Sie Metadaten mithilfe des Add-Ins Consume Adapter Service generiert haben, und dann diese Bindungseigenschaft in der Datei suchen. Geben Sie einen geeigneten Wert für diese Bindungseigenschaft an, speichern Sie die Bindungsdatei, und importieren Sie dann die Bindungsdatei in BizTalk Server. Weitere Informationen finden Sie unter Wiederverwenden von SQL-Adapterbindungen.