Compartir a través de

Seguridad con el adaptador de base de datos de Oracle y BizTalk Server

  • Artículo

Cuando se configura un puerto de envío o un puerto de recepción (ubicación) mediante la consola de administración de BizTalk Server o se usa el complemento consumir el servicio adaptador de BizTalk Project para recuperar esquemas de mensajes para una solución de BizTalk, debe proporcionar credenciales para la base de datos de Oracle. Es importante proporcionar estas credenciales de forma segura para evitar que se revelen a actores potencialmente malintencionados. En este tema se describe cómo proporcionar credenciales de forma más segura para las soluciones de Adaptador de Microsoft BizTalk para Oracle Database para BizTalk Server.

Una explicación más general de la seguridad en el contexto de las soluciones de BizTalk es un tema amplio y está fuera del ámbito de esta documentación. Para obtener información sobre cómo puede proteger las soluciones de BizTalk, consulte Proteger y proteger los mensajes de BizTalk.

¿Cómo puedo proteger las credenciales cuando uso el complemento de proyecto de BizTalk para consumir el servicio adaptador o el Asistente para agregar metadatos del adaptador?

Al usar el complemento de servicio consumir adaptador para recuperar esquemas de mensajes para una solución de BizTalk, debe proporcionar un nombre de usuario y una contraseña para la base de datos de Oracle. Solo debe hacerlo desde la pestaña Seguridad del cuadro de diálogo Configurar adaptador . Esto garantiza que las credenciales no se mostrarán en el campo Configurar un URI del cuadro de diálogo Consumir complemento de servicio de adaptador, donde cualquier persona con acceso a la pantalla del equipo puede leerlas. Para obtener más información sobre cómo recuperar esquemas de mensajes mediante el complemento Consumir servicio adaptador, incluido cómo escribir un nombre de usuario y una contraseña para la base de datos de Oracle, consulte Obtención de metadatos para las operaciones de Oracle en Visual Studio.

¿Cómo puedo proteger las credenciales al configurar un puerto de envío o una ubicación de recepción?

Las soluciones de BizTalk usan el adaptador de WCF-Custom de Microsoft BizTalk para consumir servicios WCF. El adaptador de base de datos de Oracle es un enlace personalizado de WCF que permite a los clientes consumir la base de datos de Oracle como si fuera un servicio WCF. Las soluciones de BizTalk consumen el adaptador de base de datos de Oracle a través de puertos de envío y ubicaciones de recepción configuradas para usar el adaptador de WCF-Custom, que es, a su vez, configurado para usar el adaptador de base de datos de Oracle como su transporte. Para obtener más información sobre cómo configurar puertos de envío y puertos de recepción (ubicaciones de recepción), incluido cómo configurar el adaptador de WCF-Custom, consulte Configuración manual de un enlace de puerto físico al adaptador de base de datos de Oracle.

Las credenciales de base de datos de Oracle se configuran desde la pestaña Credenciales del cuadro de diálogo Propiedades de transporte personalizadas de WCF para puertos de envío o desde la pestaña Otros del cuadro de diálogo Propiedades de transporte personalizadas de WCF para ubicaciones de recepción. Dado que el adaptador de WCF-Custom admite Enterprise Single Sign-On (SSO), puede optar por proporcionar un nombre de usuario y una contraseña o una aplicación afiliada de SSO en cualquiera de estas pestañas. En los temas siguientes se describen ambas opciones.

Credenciales de contraseña de nombre de usuario

Solo debe proporcionar un nombre de usuario y una contraseña desde la pestaña Credenciales (para puertos de envío) o la pestaña Otros (para ubicaciones de recepción) en el cuadro de diálogo Propiedades de transporte personalizadas de WCF . Esto garantiza lo siguiente:

  • Las credenciales no se mostrarán en el campo Dirección (URI) del cuadro de diálogo. Esto impide que aquellos que tengan acceso a la pantalla (o que tengan permisos que les permitan ver el puerto de envío o recibir propiedades de ubicación) vean sus credenciales.

  • La contraseña no se escribirá en el archivo de enlace si exporta el puerto de envío o el enlace de puerto de recepción. Esto evita que cualquier persona con acceso al archivo vea la contraseña.

Enterprise Single Sign-On y aplicaciones afiliadas de SSO

Puede configurar el adaptador de WCF-Custom para usar el inicio de sesión único (SSO) de Empresa para obtener las credenciales de la base de datos de Oracle. El inicio de sesión único usa una base de datos y un secreto maestro para cifrar y almacenar las credenciales de usuario. También proporciona servicios para asignar cuentas de Microsoft Windows a credenciales secundarias que se usan para acceder a un sistema back-end. Mediante el inicio de sesión único, puede asignar una cuenta de Windows a un nombre de usuario y una contraseña en la base de datos de Oracle.

El inicio de sesión único usa aplicaciones afiliadas y asignaciones de SSO para asignar credenciales al sistema back-end. Una aplicación afiliada es una entidad lógica en SSO que hace referencia a un sistema o a una aplicación que requiere credenciales secundarias. Una asignación de SSO está asociada a una aplicación afiliada. Asigna una cuenta de Windows a las credenciales secundarias usadas por esa cuenta para acceder al sistema o aplicación afiliados. Una asignación de SSO se puede asociar a una cuenta de usuario de Windows o a un grupo.

Para usar el inicio de sesión único con el adaptador de Oracle Database, debe hacer lo siguiente.

  1. Cree una aplicación afiliada en SSO para contener las credenciales de contraseña de nombre de usuario para la base de datos de Oracle. A menudo, este paso lo realiza alguien con tipos especiales de privilegios administrativos de SSO.

  2. Cree una asignación de usuario o grupo para la aplicación afiliada que asigne su cuenta de Windows al nombre de usuario y la contraseña que se usan para establecer una conexión con la base de datos de Oracle. En función de la instalación, es posible que un usuario pueda realizar este paso o que necesite alguien con tipos especiales de privilegios administrativos de SSO.

Nota

Cuando se configura para SSO, el adaptador de WCF-Custom usa los servicios proporcionados por SSO para obtener el nombre de usuario y la contraseña de Oracle de la base de datos de SSO. Proporciona estos (sin cifrar) al adaptador de base de datos de Oracle para que el adaptador pueda abrir una conexión a la base de datos de Oracle. El inicio de sesión único no proporciona cifrado ni protección entre la conexión entre el adaptador de Oracle Database y la base de datos de Oracle.

Para obtener información sobre cómo usar el inicio de sesión único, incluida la información sobre cómo crear aplicaciones afiliadas y asignaciones de SSO, consulte Uso del inicio de sesión único. Para obtener más información general sobre el inicio de sesión único, consulte Implementación del inicio de sesión único de Enterprise.

La propiedad Binding AcceptCredentialsInUri

El adaptador de base de datos de Oracle muestra la propiedad de enlace AcceptCredentialsInUri . Esta propiedad determina si se permiten credenciales de base de datos de Oracle en el URI de conexión. De forma predeterminada, AcceptCredentialsInUri es false y el adaptador de oracle Database produce una excepción si las credenciales se incluyen en el URI.

Esta propiedad se muestra porque hay ciertos escenarios de programación que requieren que las credenciales estén presentes en el URI de conexión. Esto nunca debe ser el caso cuando se configura un puerto de envío o una ubicación de recepción, o cuando se usa el complemento Consumir servicio de adaptador para recuperar esquemas de mensajes del adaptador de Oracle Database adapter. Se recomienda no establecer AcceptCredentialsInUri en true. Para obtener más información sobre las propiedades de enlace del adaptador de base de datos de Oracle, consulte Configuración de las propiedades de enlace para Oracle Database.

La propiedad de enlace AcceptCredentialsInUri no está disponible en BizTalk Server de la pestaña Enlace al configurar un WCF-Custom o WCF-OracleDB puerto de recepción o envío. Para establecer el valor de la propiedad de enlace AcceptCredentialsInUri , debe abrir el archivo de enlaces de adaptador (archivo XML) que se crea después de haber generado metadatos mediante el complemento de servicio consumir adaptador y, a continuación, buscar esta propiedad de enlace en el archivo. Especifique un valor adecuado para esta propiedad de enlace, guarde el archivo de enlace y, a continuación, importe el archivo de enlace en BizTalk Server. Consulte Reutilización de enlaces de adaptador de SQL.

Consulte también

Proteger las aplicaciones de base de datos de Oracle
Procedimientos recomendados