Procedimientos recomendados para proteger el adaptador de SAP
En esta sección se proporcionan procedimientos recomendados que debe seguir para proteger más completamente los datos confidenciales al usar o desarrollar aplicaciones que consumen el adaptador de Microsoft BizTalk para mySAP Business Suite.
Procedimientos recomendados de seguridad para la conexión entre el adaptador de SAP y el sistema SAP
Debe asegurarse de un nivel de seguridad adecuado para los datos intercambiados entre el adaptador y el sistema SAP. El adaptador de SAP admite las comunicaciones de red segura (SNC) de SAP. Puede habilitar SNC o proporcionar un mecanismo alternativo para ayudar a proteger la comunicación entre el adaptador y el sistema SAP.
No proporcione credenciales de contraseña de nombre de usuario para el sistema SAP en el URI de conexión. Consulte las secciones siguientes para obtener métodos alternativos de proporcionar credenciales al adaptador de SAP.
Asegúrese de que solo los agentes de escucha que quiera recibir artefactos de SAP (RFC, IDOC y TRFC) de un identificador de programa de SAP tengan acceso a ese identificador de programa. Esto se debe a que cualquier agente de escucha que tenga acceso a un identificador de programa puede recibir artefactos de ese identificador de programa.
Tenga en cuenta que si varios agentes de escucha usan un identificador de programa de SAP simultáneamente, SAP elegirá aleatoriamente un agente de escucha para cada artefacto saliente (RFC, IDOC o tRFC).
Para obtener más información, consulte Seguridad entre el sistema SAP y el adaptador.
Procedimientos recomendados de seguridad para consumir el adaptador de SAP con BizTalk Server
No proporcione credenciales de contraseña de nombre de usuario para el sistema SAP en el URI de conexión.
Cuando use el complemento Consumir servicio de adaptador, escriba la credencial de contraseña de nombre de usuario para el sistema SAP en la pestaña Seguridad del cuadro de diálogo Configurar adaptador .
Al configurar el adaptador de bizTalk WCF-Custom para el adaptador de SAP en un puerto de envío, escriba la credencial de contraseña de nombre de usuario para el sistema SAP en la pestaña Credenciales del cuadro de diálogo Configurar transporte personalizado de WCF .
Al configurar el adaptador de bizTalk WCF-Custom para el adaptador de SAP en una ubicación de recepción, escriba la credencial de contraseña de nombre de usuario para el sistema SAP en la pestaña Otros del cuadro de diálogo Configurar transporte personalizado de WCF .
Para obtener más información, consulte Seguridad con el adaptador de SAP y BizTalk Server.
Procedimientos recomendados de seguridad para consumir el adaptador de SAP con soluciones de programación
A veces es necesario proporcionar las credenciales de contraseña de nombre de usuario para el sistema SAP en el URI de conexión; sin embargo, si es posible, debe evitar hacerlo.
Cuando use el complemento Agregar referencia de servicio de adaptador de Visual Studio, escriba la credencial de contraseña de nombre de usuario para el sistema SAP en la pestaña Seguridad del cuadro de diálogo Configurar adaptador .
En la programación del modelo de canal wcF, use la propiedad Credentials en el generador de canales para establecer la credencial de contraseña de nombre de usuario para el sistema SAP.
En la programación del modelo de servicio WCF, use la propiedad ClientCredentials en el cliente WCF para establecer la credencial de contraseña de nombre de usuario para el sistema SAP.
Si una aplicación que consume el adaptador de SAP envía mensajes que contienen información confidencial de la base de datos a través de un límite de proceso a otro servicio o cliente, asegúrese de que estos mensajes tienen suficientes medidas de seguridad aplicadas para proporcionar una protección de datos adecuada en su entorno.
Para obtener más información, consulte Programación segura con el adaptador de SAP.
Procedimientos recomendados de seguridad para hospedar el adaptador de SAP en IIS
Hospedar el adaptador de SAP en Microsoft Internet Information Services (IIS) como servicio web expone las operaciones expuestas por el adaptador de SAP a los clientes web. Estas operaciones pueden implicar el intercambio de datos confidenciales a través de Internet, por lo que debe tomar medidas para ayudar a garantizar que estos datos sean lo más seguros posible.
WCF proporciona dos enlaces estándar para el transporte HTTP: BasicHttpBinding proporciona transporte HTTP básico sin mecanismos de seguridad; WSHttpBinding admite tanto mecanismos de seguridad de nivel de transporte como de nivel de mensaje.
Puede usar BasicHttpBinding a través de una conexión HTTPS o usar WSHttpBinding para ayudar a proteger los datos. El SDK del adaptador de LOB de WCF incluye el Asistente para desarrollo del servicio de adaptador de LOB de WCF para generar el servicio WCF para artefactos lob. Este asistente solo admite el uso de BasicHttpBinding.
También puede desarrollar un enlace HTTP personalizado para aprovechar mecanismos de seguridad adicionales que proporciona el entorno. Para obtener más información sobre las características de seguridad que proporciona WCF, vea Protección de servicios y clientes.
Procedimientos recomendados de seguridad para el seguimiento de diagnóstico de WCF y el registro de mensajes
WCF admite el seguimiento de diagnóstico y el registro de mensajes. Puede configurar el seguimiento de diagnóstico y el registro de mensajes a través de archivos de configuración o mediante Instrumental de administración de Windows (WMI). Según las opciones de configuración establecidas, el seguimiento de diagnóstico de WCF o el registro de mensajes puede emitir información confidencial a los archivos de registro, donde podría exponerse a la observación por parte de usuarios no autorizados.
Siga las recomendaciones proporcionadas en la documentación de WCF para mitigar posibles amenazas de seguridad expuestas al habilitar estas características. Como mínimo, debe observar los siguientes procedimientos recomendados para el seguimiento de diagnóstico y el registro de mensajes:
No habilite el seguimiento "detallado" o "información" en un entorno de producción. Esto puede provocar una degradación del rendimiento. Sin embargo, debe habilitar el seguimiento de "advertencia" y "error" en un entorno de producción. Si habilita el seguimiento, debe tomar medidas de seguridad adecuadas para proteger los datos. Consulte la documentación de WCF para obtener más información.
Asegúrese de que los archivos de registro y los archivos de configuración están protegidos por listas de control de acceso (ACL).
Las siguientes advertencias se aplican específicamente a los mensajes que se intercambian entre una aplicación cliente y el adaptador de SAP:
El seguimiento de diagnóstico de WCF puede registrar el encabezado (pero no el cuerpo) de los mensajes intercambiados con el adaptador de SAP. Dado que la acción del mensaje está en el encabezado del mensaje, esto revela las operaciones invocadas en el adaptador de SAP por el cliente.
Si el registro de mensajes WCF está habilitado y
logMessagesAtServiceLevelestrue, se registra el encabezado del mensaje (pero no el cuerpo del mensaje) de los mensajes intercambiados entre el cliente del adaptador y el adaptador de SAP. Dado que la acción del mensaje está en el encabezado del mensaje, esto revela las operaciones que el cliente invocó en el adaptador de SAP. SilogEntireMessagetambiéntruees , se registrará el cuerpo del mensaje. Esto puede revelar información confidencial de la base de datos.Para obtener más información sobre cómo mejorar la seguridad al habilitar el seguimiento de diagnóstico, consulte Problemas de seguridad y Sugerencias útiles para el seguimiento. Para obtener más información sobre cómo mejorar la seguridad al habilitar el registro de mensajes, consulte Problemas de seguridad para el registro de mensajes.