Partager via

Bonnes pratiques pour sécuriser l’adaptateur Oracle Database

  • Article

Cette section fournit les meilleures pratiques que vous devez suivre pour protéger plus complètement les données sensibles lorsque vous utilisez ou développez des applications qui utilisent l’adaptateur Microsoft BizTalk pour Oracle Database.

Meilleures pratiques de sécurité pour la connexion entre l’adaptateur Oracle Database et la base de données Oracle

  • L’adaptateur Oracle Database ne fournit aucune prise en charge pour sécuriser la communication entre elle et la base de données Oracle. Vous devez fournir un mécanisme pour garantir un niveau de sécurité adéquat pour les données échangées entre l’adaptateur et la base de données Oracle.

  • Ne fournissez pas d’informations d’identification de mot de passe de nom d’utilisateur pour la base de données Oracle dans l’URI de connexion. Consultez les sections suivantes pour connaître les autres méthodes de fourniture d’informations d’identification à l’adaptateur Oracle Database.

  • L’adaptateur Oracle Database vous permet également d’utiliser l’authentification Windows lors de la connexion à la base de données Oracle pour générer des métadonnées et effectuer des opérations, via Visual Studio ou BizTalk Server. Avant d’utiliser l’authentification Windows, vous devez effectuer les étapes répertoriées dans Connexion à la base de données Oracle à l’aide de l’authentification Windows.

    Pour plus d’informations, consultez Sécurité entre la base de données Oracle et l’adaptateur.

Meilleures pratiques de sécurité pour l’utilisation de l’adaptateur de base de données Oracle avec BizTalk Server

  • Ne fournissez pas d’informations d’identification de mot de passe de nom d’utilisateur pour la base de données Oracle dans l’URI de connexion.

  • Lorsque vous utilisez le complément Consume Adapter Service, entrez les informations d’identification du mot de passe de nom d’utilisateur pour la base de données Oracle sous l’onglet Sécurité de la boîte de dialogue Configurer l’adaptateur .

  • Lorsque vous configurez l’adaptateur bizTalk WCF-Custom pour l’adaptateur Oracle Database sur un port d’envoi, entrez les informations d’identification du mot de passe du nom d’utilisateur pour la base de données Oracle sous l’onglet Informations d’identification de la boîte de dialogue Configurer le transport personnalisé WCF .

  • Lorsque vous configurez l’adaptateur bizTalk WCF-Custom pour l’adaptateur Oracle Database sur un emplacement de réception, entrez les informations d’identification du mot de passe du nom d’utilisateur pour la base de données Oracle sous l’onglet Autre de la boîte de dialogue Configurer le transport personnalisé WCF .

  • L’adaptateur Oracle Database vous permet également d’utiliser l’authentification Windows lors de la connexion à la base de données Oracle pour générer des métadonnées et effectuer des opérations via BizTalk Server. Avant d’utiliser l’authentification Windows, vous devez effectuer les étapes répertoriées dans Connexion à la base de données Oracle à l’aide de l’authentification Windows.

    Pour plus d’informations, consultez Sécurité avec l’adaptateur de base de données Oracle et BizTalk Server.

Meilleures pratiques de sécurité pour l’utilisation de l’adaptateur de base de données Oracle avec des solutions de programmation

  • Il est parfois nécessaire de fournir les informations d’identification du mot de passe du nom d’utilisateur pour la base de données Oracle dans l’URI de connexion ; toutefois, si possible, vous devez éviter de le faire.

  • Lorsque vous utilisez le plug-in Visual Studio Ajouter une référence de service d’adaptateur, entrez les informations d’identification du mot de passe du nom d’utilisateur pour la base de données Oracle sous l’onglet Sécurité de la boîte de dialogue Configurer l’adaptateur .

  • Dans la programmation du modèle de canal WCF, utilisez la propriété Credentials sur la fabrique de canal pour définir les informations d’identification du mot de passe du nom d’utilisateur pour la base de données Oracle.

  • Dans la programmation du modèle de service WCF, utilisez la propriété ClientCredentials sur le client WCF pour définir les informations d’identification du mot de passe du nom d’utilisateur pour la base de données Oracle.

  • Si une application qui utilise l’adaptateur Oracle Database envoie des messages qui contiennent des informations de base de données sensibles au-delà d’une limite de processus à un autre service ou client, assurez-vous que ces messages disposent de mesures de sécurité suffisantes pour assurer une protection adéquate des données dans votre environnement.

  • L’adaptateur Oracle Database vous permet également d’utiliser l’authentification Windows lors de la connexion à la base de données Oracle pour générer des métadonnées et effectuer des opérations via Visual Studio. Avant d’utiliser l’authentification Windows, vous devez effectuer les étapes répertoriées dans Connexion à la base de données Oracle à l’aide de l’authentification Windows.

    Pour plus d’informations, consultez Sécuriser la programmation avec l’adaptateur Oracle Database.

Meilleures pratiques de sécurité pour l’hébergement de l’adaptateur de base de données Oracle dans IIS

L’hébergement de l’adaptateur Oracle Database dans Microsoft Internet Information Services (IIS) en tant que service Web expose les opérations exposées par l’adaptateur Oracle Database aux clients Web. Ces opérations peuvent impliquer l’échange de données sensibles sur Internet. Vous devez donc prendre des mesures pour vous assurer que ces données sont aussi sécurisées que possible.

WCF fournit deux liaisons standard pour le transport HTTP : BasicHttpBinding fournit un transport HTTP de base sans mécanisme de sécurité ; WSHttpBinding prend en charge les mécanismes de sécurité au niveau du transport et au niveau du message.

Vous pouvez utiliser basicHttpBinding via une connexion HTTPS ou utiliser WSHttpBinding pour protéger vos données. Le Kit de développement logiciel (SDK) de l’adaptateur LOB WCF inclut l’Assistant Développement de service d’adaptateur métier WCF pour générer le service WCF pour les artefacts métier. Cet Assistant prend uniquement en charge l’utilisation de BasicHttpBinding.

Vous pouvez également développer une liaison HTTP personnalisée pour tirer parti des mécanismes de sécurité supplémentaires fournis par votre environnement. Pour plus d’informations sur les fonctionnalités de sécurité fournies par WCF, consultez Sécurisation des services et des clients.

Meilleures pratiques de sécurité pour le suivi des diagnostics WCF et la journalisation des messages

WCF prend en charge le suivi de diagnostic et la journalisation des messages. Vous configurez le suivi de diagnostic et la journalisation des messages par le biais de fichiers de configuration ou à l’aide de Windows Management Instrumentation (WMI). Selon les options de configuration que vous définissez, le suivi de diagnostic WCF ou la journalisation des messages peuvent émettre des informations sensibles aux fichiers journaux, où ils peuvent être potentiellement exposés à l’observation par des utilisateurs non autorisés.

Suivez les recommandations fournies dans la documentation WCF pour atténuer les menaces de sécurité potentielles exposées en activant ces fonctionnalités. Au minimum, vous devez observer les meilleures pratiques suivantes pour le suivi de diagnostic et la journalisation des messages :

  • N’activez pas le suivi « détaillé » ou « information » dans un environnement de production. Cela peut entraîner une dégradation des performances. Toutefois, vous devez activer le suivi « warning » et « error » dans un environnement de production. Si vous activez le suivi, vous devez prendre les mesures de sécurité appropriées pour protéger vos données. Pour plus d’informations, consultez la documentation WCF.

  • Assurez-vous que les fichiers journaux et les fichiers de configuration sont protégés par des listes de contrôle d’accès (ACL).

    Les avertissements suivants s’appliquent spécifiquement aux messages échangés entre une application cliente et l’adaptateur Oracle Database :

  • Le suivi de diagnostic WCF peut journaliser l’en-tête (mais pas le corps) des messages échangés avec l’adaptateur Oracle Database. Étant donné que l’action de message se trouve dans l’en-tête du message, cela révèle les opérations appelées sur l’adaptateur de base de données Oracle par le client.

  • Si la journalisation des messages WCF est activée et logMessagesAtServiceLevel est true, l’en-tête de message (mais pas le corps du message) des messages échangés entre le client de l’adaptateur et l’adaptateur Oracle Database sont consignés. Étant donné que l’action de message se trouve dans l’en-tête du message, cela révèle les opérations que le client a appelées sur l’adaptateur Oracle Database. Si logEntireMessage est également true, le corps du message sera journalisé. Cela peut révéler des informations de base de données sensibles.

    Pour plus d’informations sur l’amélioration de la sécurité lorsque vous activez le suivi de diagnostic, consultez Problèmes de sécurité et Conseils utiles pour le suivi. Pour plus d’informations sur l’amélioration de la sécurité lorsque vous activez la journalisation des messages, consultez Problèmes de sécurité pour la journalisation des messages.

Voir aussi

Sécuriser vos applications Oracle Database