Sicurezza con l'adattatore SAP e BizTalk Server
Quando si configura una porta di trasmissione o una porta di ricezione (posizione) usando la console di amministrazione di BizTalk Server o si usa il componente aggiuntivo Del progetto BizTalk del servizio adapter per recuperare gli schemi dei messaggi per una soluzione BizTalk, è necessario fornire le credenziali per il sistema SAP. È importante fornire queste credenziali in modo sicuro per evitare che vengano rivelate agli attori potenzialmente dannosi. Questo argomento illustra come fornire le credenziali in modo più sicuro per l'adapter Microsoft BizTalk per mySAP Business Suite per le soluzioni di BizTalk Server.
Una discussione più generale sulla sicurezza nel contesto delle soluzioni BizTalk è un argomento esteso ed è oltre l'ambito di questa documentazione. Per informazioni su come rendere più sicure le soluzioni BizTalk, vedere Proteggere e proteggere i messaggi BizTalk.
Come si proteggono le credenziali quando si usa il componente aggiuntivo del progetto BizTalk del servizio adapter?
Quando si usa il componente aggiuntivo Use Adapter Service per recuperare gli schemi dei messaggi per una soluzione BizTalk, è necessario specificare un nome utente e una password per il sistema SAP. È consigliabile eseguire questa operazione solo dalla scheda Sicurezza nella finestra di dialogo Configura adattatore . Ciò garantisce che le credenziali non vengano visualizzate nel campo URI della finestra di dialogo Utilizzo componente aggiuntivo del servizio adapter, in cui chiunque può accedere alla schermata del computer può leggerli. Per altre informazioni su come recuperare gli schemi dei messaggi usando il componente aggiuntivo Consuma servizio adapter, incluso come immettere un nome utente e una password per il sistema SAP, vedere Ottenere metadati per le operazioni SAP in Visual Studio.
Come si proteggono le credenziali quando si configura una porta di trasmissione o un percorso di ricezione?
Le soluzioni BizTalk usano l'adapter di WCF-Custom Microsoft BizTalk per usare i servizi WCF. L'adapter SAP è un'associazione personalizzata WCF che consente ai client di usare il sistema SAP come se fosse un servizio WCF. Le soluzioni BizTalk usano l'adapter SAP tramite le porte di invio e le posizioni di ricezione configurate per l'uso dell'adattatore WCF-Custom, che è, a sua volta, configurata per l'uso della scheda SAP come trasporto. Per altre informazioni su come configurare le porte di invio e le porte di ricezione (posizioni di ricezione), tra cui come configurare la scheda WCF-Custom, vedere Configurare manualmente un'associazione di porte fisiche alla scheda SAP.
È possibile configurare le credenziali di sistema SAP dalla scheda Credenziali della finestra di dialogo Proprietà trasporto personalizzate WCF per le porte di invio o dalla scheda Altre della finestra di dialogo Proprietà trasporto personalizzate WCF per le posizioni di ricezione. Poiché l'adattatore WCF-Custom supporta Enterprise Single Sign-On (SSO), è possibile scegliere di specificare un nome utente e una password o un'applicazione di affiliazione SSO in una di queste schede. Gli argomenti seguenti illustrano entrambe le opzioni.
Credenziali password nome utente
È consigliabile specificare solo un nome utente e una password dalla scheda Credenziali (per le porte di invio) o dalla scheda Altre (per le posizioni di ricezione) nella finestra di dialogo Proprietà trasporto personalizzate WCF . Ciò garantisce quanto segue:
Le credenziali non verranno visualizzate nel campo Uri della finestra di dialogo. Ciò impedisce a coloro che hanno accesso alla schermata (o che dispongono delle autorizzazioni che consentono loro di visualizzare le proprietà della porta di invio o della posizione di ricezione) di visualizzare le credenziali.
La password non verrà scritta nel file di associazione se si esporta la porta di invio o l'associazione di porta di ricezione. Ciò impedisce a chiunque di accedere al file di visualizzare la password.
Applicazioni associate a single Sign-On enterprise e SSO
È possibile configurare l'adattatore WCF-Custom per usare l'accesso SSO per ottenere le credenziali per il sistema SAP. SSO usa un database e un segreto master per crittografare e archiviare le credenziali utente. Fornisce anche servizi per eseguire il mapping degli account Microsoft Windows alle credenziali secondarie usate per accedere a un sistema back-end. Usando l'accesso SSO, è possibile eseguire il mapping di un account Windows a un nome utente e una password nel sistema SAP.
SSO usa applicazioni affiliate e mapping SSO per eseguire il mapping delle credenziali al sistema back-end. Un'applicazione affiliata è un'entità logica in SSO che fa riferimento a un sistema o a un'applicazione che richiede credenziali secondarie. Un mapping SSO è associato a un'applicazione di affiliazione. Esegue il mapping di un account Windows alle credenziali secondarie usate da tale account per accedere al sistema di affiliazione o all'applicazione. Un mapping SSO può essere associato a un account utente di Windows o a un gruppo.
Per usare l'accesso SSO con l'adattatore SAP, è necessario eseguire le operazioni seguenti.
Creare un'applicazione affiliata in SSO per contenere le credenziali password del nome utente per il sistema SAP. Questo passaggio viene spesso eseguito da un utente con tipi speciali di privilegi amministrativi SSO.
Creare un mapping utente o gruppo per l'applicazione affiliata che esegue il mapping dell'account Windows al nome utente e alla password usati per stabilire una connessione con il sistema SAP. A seconda dell'installazione, un utente potrebbe essere in grado di eseguire questo passaggio oppure potrebbe richiedere un utente con tipi speciali di privilegi amministrativi SSO.
Nota
Quando configurato per l'accesso SSO, l'adapter WCF-Custom usa i servizi forniti da SSO per ottenere il nome utente e la password SAP dal database SSO. Fornisce queste (non crittografate) alla scheda SAP, in modo che l'adattatore possa aprire una connessione al sistema SAP. L'accesso SSO non fornisce alcuna crittografia o protezione tra la scheda SAP e il sistema SAP.
Per informazioni su come usare l'accesso SSO, incluse informazioni su come creare applicazioni affiliate e mapping SSO, vedere Uso dell'accesso SSO. Per altre informazioni generali sull'accesso Single Sign-On, vedere Implementazione dell'accesso Single Sign-On aziendale.
Proprietà di associazione AcceptCredentialsInUri
L'adapter SAP visualizza la proprietà di associazione AcceptCredentialsInUri . Questa proprietà determina se le credenziali di sistema SAP sono consentite nell'URI di connessione. Per impostazione predefinita, AcceptCredentialsInUri è false e l'adapter SAP genera un'eccezione se le credenziali sono incluse nell'URI.
Questa proprietà viene visualizzata perché esistono alcuni scenari di programmazione che richiedono che le credenziali siano presenti nell'URI di connessione. Questo non deve mai essere il caso in cui si configura una porta di invio o un percorso di ricezione o quando si usa il componente aggiuntivo Utilizzo servizio adapter per recuperare gli schemi di messaggio dall'adattatore SAP. In questi casi, è consigliabile non impostare AcceptCredentialsInUri su true. Per altre informazioni sulle proprietà di associazione dell'adapter SAP, vedere Informazioni sulle proprietà di associazione bizTalk Adapter for ORacle E-Business Suite.
La proprietà di associazione AcceptCredentialsInUri non è disponibile in BizTalk Server nella scheda Binding durante la configurazione di una WCF-Custom o una porta di trasmissione WCF-SAP. Per impostare il valore della proprietà di associazione AcceptCredentialsInUri , è necessario aprire il file di associazioni dell'adapter (file XML) creato dopo aver generato metadati usando il componente aggiuntivo Del servizio adapter di utilizzo e quindi individuare questa proprietà di associazione nel file. Specificare un valore appropriato per questa proprietà di associazione, salvare il file di associazione e quindi importare il file di associazione in BizTalk Server. Per istruzioni, vedere Riutilizzare le associazioni dell'adattatore SAP .
Vedere anche
Procedure consigliate per proteggere l'adapter SAP
Proteggere le applicazioni SAP