Condividi tramite

Procedure consigliate per proteggere l'adapter SAP

  • Articolo

Questa sezione fornisce le procedure consigliate da seguire per proteggere più completamente i dati sensibili quando si usano o si sviluppano applicazioni che usano l'adapter Microsoft BizTalk per mySAP Business Suite.

Procedure consigliate per la sicurezza per la connessione tra l'adapter SAP e il sistema SAP

  • È necessario garantire un livello di sicurezza adeguato per i dati scambiati tra l'adattatore e il sistema SAP. L'adattatore SAP supporta SAP Secure Network Communications (SNC). È possibile abilitare SNC o fornire un meccanismo alternativo per proteggere la comunicazione tra l'adattatore e il sistema SAP.

  • Non specificare le credenziali password del nome utente per il sistema SAP nell'URI di connessione. Vedere le sezioni seguenti per metodi alternativi per fornire le credenziali all'adattatore SAP.

  • Assicurarsi che solo i listener che si desidera ricevere gli artefatti SAP (RFC, IDOCs e tRFCs) da un ID programma SAP hanno accesso a tale ID programma. Questo perché qualsiasi listener che ha accesso a un ID programma può ricevere elementi da tale ID programma.

  • Tenere presente che se più listener usano contemporaneamente un ID programma SAP, SAP sceglierà in modo casuale un listener per ogni elemento in uscita (RFC, IDOC o tRFC).

    Per altre informazioni, vedere Sicurezza tra il sistema SAP e l'adattatore.

Procedure consigliate per la sicurezza per l'utilizzo dell'adattatore SAP con BizTalk Server

  • Non specificare le credenziali password del nome utente per il sistema SAP nell'URI di connessione.

  • Quando si usa il componente aggiuntivo Utilizzo servizio adapter, immettere le credenziali password nome utente per il sistema SAP dalla scheda Sicurezza della finestra di dialogo Configura adattatore .

  • Quando si configura l'adapter bizTalk WCF-Custom per l'adapter SAP in una porta di trasmissione, immettere le credenziali password del nome utente per il sistema SAP dalla scheda Credenziali della finestra di dialogo Configura trasporto personalizzato WCF .

  • Quando si configura l'adapter di WCF-Custom BizTalk per l'adapter SAP in un percorso di ricezione, immettere le credenziali password del nome utente per il sistema SAP dalla scheda Altre della finestra di dialogo Configura trasporto personalizzato WCF .

    Per altre informazioni, vedere Sicurezza con l'adattatore SAP e BizTalk Server.

Procedure consigliate per la sicurezza per l'utilizzo dell'adapter SAP con soluzioni di programmazione

  • A volte è necessario fornire le credenziali della password del nome utente per il sistema SAP nell'URI di connessione; Tuttavia, se possibile, è consigliabile evitare di farlo.

  • Quando si usa il plug-in Add Adapter Service Reference Visual Studio, immettere le credenziali della password del nome utente per il sistema SAP dalla scheda Sicurezza della finestra di dialogo Configura adattatore .

  • Nella programmazione del modello di canale WCF usare la proprietà Credentials nella channel factory per impostare le credenziali password del nome utente per il sistema SAP.

  • Nella programmazione del modello di servizio WCF usare la proprietà ClientCredentials nel client WCF per impostare le credenziali password del nome utente per il sistema SAP.

  • Se un'applicazione che utilizza l'adattatore SAP invia messaggi che contengono informazioni sensibili sul database attraverso un limite di processo a un altro servizio o client, assicurarsi che questi messaggi dispongano di misure di sicurezza sufficienti applicate per fornire una protezione dei dati adeguata nell'ambiente.

    Per altre informazioni, vedere Proteggere la programmazione con l'adattatore SAP.

Procedure consigliate per la sicurezza per ospitare l'adapter SAP in IIS

  • L'hosting della scheda SAP in Microsoft Internet Information Services (IIS) come servizio Web espone le operazioni esposte dalla scheda SAP ai client Web. Queste operazioni potrebbero comportare lo scambio di dati sensibili tramite Internet, pertanto è consigliabile adottare misure per garantire che questi dati siano il più sicuri possibile.

    WCF fornisce due associazioni standard per il trasporto HTTP: BasicHttpBinding fornisce il trasporto HTTP di base senza meccanismi di sicurezza; WSHttpBinding supporta meccanismi di sicurezza a livello di trasporto e a livello di messaggio.

    È possibile usare BasicHttpBinding tramite una connessione HTTPS o usare WSHttpBinding per proteggere i dati. L'SDK dell'adapter LOB WCF include la Procedura guidata per lo sviluppo guidato del servizio adapter LOB WCF per generare il servizio WCF per gli artefatti LOB. Questa procedura guidata supporta solo l'uso di BasicHttpBinding.

    È anche possibile sviluppare un'associazione HTTP personalizzata per sfruttare meccanismi di sicurezza aggiuntivi forniti dall'ambiente. Per altre informazioni sulle funzionalità di sicurezza fornite da WCF, vedere Protezione di servizi e client.

Procedure consigliate per la sicurezza per la traccia diagnostica WCF e la registrazione dei messaggi

WCF supporta la traccia di diagnostica e la registrazione dei messaggi. Configurare la traccia diagnostica e la registrazione dei messaggi tramite file di configurazione o tramite Strumentazione gestione Windows (WMI). A seconda delle opzioni di configurazione impostate, la traccia diagnostica WCF o la registrazione dei messaggi possono generare informazioni riservate ai file di log, in cui potrebbe essere potenzialmente esposto all'osservazione da parte di utenti non autorizzati.

Seguire le raccomandazioni fornite nella documentazione WCF per attenuare potenziali minacce di sicurezza esposte abilitando queste funzionalità. È consigliabile osservare almeno le procedure consigliate seguenti per la traccia diagnostica e la registrazione dei messaggi:

  • Non abilitare la traccia "dettagliata" o "information" in un ambiente di produzione. Ciò può causare una riduzione delle prestazioni. Tuttavia, è necessario abilitare la traccia "avviso" e "error" in un ambiente di produzione. Se si abilita la traccia, è necessario adottare misure di sicurezza appropriate per proteggere i dati. Per altre informazioni, vedere la documentazione di WCF.

  • Assicurarsi che i file di log e i file di configurazione siano protetti dagli elenchi di controllo di accesso (ACL).

    Gli avvisi seguenti si applicano in particolare ai messaggi che vengono scambiati tra un'applicazione client e l'adapter SAP:

  • La traccia diagnostica WCF può registrare l'intestazione (ma non il corpo) dei messaggi scambiati con l'adapter SAP. Poiché l'azione del messaggio si trova nell'intestazione del messaggio, questa rivela le operazioni richiamate nell'adapter SAP dal client.

  • Se la registrazione dei messaggi WCF è abilitata ed logMessagesAtServiceLevel è true, l'intestazione del messaggio (ma non il corpo del messaggio) dei messaggi scambiati tra il client dell'adapter e l'adapter SAP vengono registrati. Poiché l'azione del messaggio si trova nell'intestazione del messaggio, questa operazione rivela le operazioni richiamate dal client nella scheda SAP. Se logEntireMessage è anche true, il corpo del messaggio verrà registrato. Ciò può rivelare informazioni sensibili sul database.

    Per altre informazioni sul miglioramento della sicurezza quando si abilita la traccia di diagnostica, vedere Problemi di sicurezza e Suggerimenti utili per la traccia. Per altre informazioni sul miglioramento della sicurezza quando si abilita la registrazione dei messaggi, vedere Problemi di sicurezza per la registrazione dei messaggi.

Vedere anche

Proteggere le applicazioni SAP