SAP 어댑터 및 BizTalk Server 보안
BizTalk Server 관리 콘솔을 사용하여 송신 포트 또는 수신 포트(위치)를 구성하거나 어댑터 서비스 BizTalk 프로젝트 추가 기능 사용을 사용하여 BizTalk 솔루션에 대한 메시지 스키마를 검색하는 경우 SAP 시스템에 대한 자격 증명을 제공해야 합니다. 잠재적으로 악의적인 행위자가 이러한 자격 증명을 공개하지 못하도록 안전한 방법으로 제공하는 것이 중요합니다. 이 항목에서는 microsoft BizTalk Adapter for mySAP Business Suite for BizTalk Server 솔루션에 대한 자격 증명을 가장 안전하게 제공하는 방법에 대해 설명합니다.
BizTalk 솔루션의 컨텍스트에서 보안에 대한 보다 일반적인 논의는 광범위한 주제이며 이 설명서의 scope. BizTalk 솔루션을 보다 안전하게 만드는 방법에 대한 자세한 내용은 BizTalk 메시지 보호 및 보호를 참조하세요.
어댑터 서비스 BizTalk 프로젝트 추가 기능을 사용할 때 자격 증명을 보호하려면 어떻게 해야 하나요?
어댑터 서비스 사용 추가 기능을 사용하여 BizTalk 솔루션에 대한 메시지 스키마를 검색하는 경우 SAP 시스템의 사용자 이름과 암호를 제공해야 합니다. 어댑터 구성 대화 상자의 보안 탭에서만 이 작업을 수행해야 합니다. 이렇게 하면 컴퓨터 화면에 액세스할 수 있는 모든 사용자가 읽을 수 있는 어댑터 서비스 추가 기능 사용 대화 상자의 Uri 필드에 자격 증명이 표시되지 않습니다. SAP 시스템의 사용자 이름 및 암호를 입력하는 방법을 포함하여 어댑터 서비스 사용 추가 기능을 사용하여 메시지 스키마를 검색하는 방법에 대한 자세한 내용은 Visual Studio에서 SAP 작업에 대한 메타데이터 가져오기를 참조하세요.
송신 포트 또는 수신 위치를 구성할 때 자격 증명을 보호하려면 어떻게 하나요?
BizTalk 솔루션은 Microsoft BizTalk WCF-Custom 어댑터를 사용하여 WCF 서비스를 사용합니다. SAP 어댑터는 클라이언트가 WCF 서비스인 것처럼 SAP 시스템을 사용할 수 있도록 하는 WCF 사용자 지정 바인딩입니다. BizTalk 솔루션은 송신 포트를 통해 SAP 어댑터를 사용하고 WCF-Custom 어댑터를 사용하도록 구성된 수신 위치를 사용합니다. 즉, SAP 어댑터를 전송으로 사용하도록 구성됩니다. WCF-Custom 어댑터를 구성하는 방법을 포함하여 송신 포트 및 수신 포트(수신 위치)를 구성하는 방법에 대한 자세한 내용은 SAP 어댑터에 대한 물리적 포트 바인딩 수동 구성을 참조하세요.
송신 포트에 대한 WCF-사용자 지정 전송 속성 대화 상자의 자격 증명 탭 또는 수신 위치에 대한 WCF-사용자 지정 전송 속성 대화 상자의 기타 탭에서 SAP 시스템 자격 증명을 구성합니다. WCF-Custom 어댑터는 SSO(Enterprise Single Sign-On)를 지원하므로 이러한 탭 중 하나에서 사용자 이름 및 암호 또는 SSO 관련 애플리케이션을 제공하도록 선택할 수 있습니다. 다음 topics 두 옵션에 대해 설명합니다.
사용자 이름 암호 자격 증명
WCF-사용자 지정 전송 속성 대화 상자의 자격 증명 탭(송신 포트의 경우) 또는 기타 탭(수신 위치의 경우)에서만 사용자 이름과 암호를 제공해야 합니다. 이렇게 하면 다음이 보장됩니다.
자격 증명은 대화 상자의 Uri 필드에 표시되지 않습니다. 이렇게 하면 화면에 액세스할 수 있거나 전송 포트를 보거나 위치 속성을 받을 수 있는 권한이 있는 사용자가 자격 증명을 볼 수 없습니다.
송신 포트를 내보내거나 수신 포트 바인딩을 내보내면 암호가 바인딩 파일에 기록되지 않습니다. 이렇게 하면 파일에 액세스할 수 있는 모든 사용자가 암호를 볼 수 없습니다.
Enterprise Single Sign-On 및 SSO 관련 애플리케이션
SSO를 사용하여 SAP 시스템에 대한 자격 증명을 가져오기 위해 WCF-Custom 어댑터를 구성할 수 있습니다. SSO는 데이터베이스와 master 비밀을 사용하여 사용자 자격 증명을 암호화하고 저장합니다. 또한 백 엔드 시스템에 액세스하는 데 사용되는 보조 자격 증명에 Microsoft Windows 계정을 매핑하는 서비스를 제공합니다. SSO를 사용하면 WINDOWS 계정을 SAP 시스템의 사용자 이름 및 암호에 매핑할 수 있습니다.
SSO 는 관련 애플리케이션 및 SSO 매핑을 사용하여 자격 증명을 백 엔드 시스템에 매핑합니다. 관련 애플리케이션은 보조 자격 증명이 필요한 시스템 또는 애플리케이션을 참조하는 SSO의 논리적 엔터티입니다. SSO 매핑은 관련 애플리케이션과 연결됩니다. Windows 계정을 해당 계정에서 계열사 시스템 또는 애플리케이션에 액세스하는 데 사용하는 보조 자격 증명에 매핑합니다. SSO 매핑은 Windows 사용자 계정 또는 그룹과 연결할 수 있습니다.
SAP 어댑터에서 SSO를 사용하려면 다음을 수행해야 합니다.
SSO에서 관련 애플리케이션을 만들어 SAP 시스템의 사용자 이름 암호 자격 증명을 보유합니다. 이 단계는 특수한 유형의 SSO 관리 권한을 가진 사용자가 수행하는 경우가 많습니다.
WINDOWS 계정을 SAP 시스템과의 연결을 설정하는 데 사용되는 사용자 이름 및 암호에 매핑하는 관련 애플리케이션에 대한 사용자 또는 그룹 매핑을 만듭니다. 설치에 따라 사용자가 이 단계를 수행할 수 있거나 특별한 유형의 SSO 관리 권한이 있는 사용자가 필요할 수 있습니다.
참고
SSO에 대해 구성된 경우 WCF-Custom 어댑터는 SSO에서 제공하는 서비스를 사용하여 SSO 데이터베이스에서 SAP 사용자 이름과 암호를 가져옵니다. 어댑터가 SAP 시스템에 대한 연결을 열 수 있도록 SAP 어댑터에 이러한(암호화되지 않음)를 제공합니다. SSO는 SAP 어댑터와 SAP 시스템 간의 연결을 통해 암호화 또는 보호를 제공하지 않습니다.
관련 애플리케이션 및 SSO 매핑을 만드는 방법에 대한 정보를 포함하여 SSO를 사용하는 방법에 대한 자세한 내용은 SSO 사용을 참조하세요. SSO에 대한 자세한 내용은 Enterprise Single Sign-On 구현을 참조하세요.
AcceptCredentialsInUri 바인딩 속성
SAP 어댑터는 AcceptCredentialsInUri 바인딩 속성을 표시합니다. 이 속성은 연결 URI에서 SAP 시스템 자격 증명이 허용되는지 여부를 결정합니다. 기본적으로 AcceptCredentialsInUri 는 false 이며 자격 증명이 URI에 포함된 경우 SAP 어댑터가 예외를 throw합니다.
이 속성은 연결 URI에 자격 증명이 있어야 하는 특정 프로그래밍 시나리오가 있기 때문에 표시됩니다. 송신 포트 또는 수신 위치를 구성하거나 어댑터 서비스 추가 기능 사용을 사용하여 SAP 어댑터에서 메시지 스키마를 검색하는 경우는 절대 그렇지 않습니다. 이러한 경우 AcceptCredentialsInUri를true로 설정하지 않는 것이 좋습니다. SAP 어댑터 바인딩 속성에 대한 자세한 내용은 BizTalk Adapter for ORacle E-Business Suite 바인딩 속성에 대해 읽어보세요.
WCF-Custom 또는 WCF-SAP 수신 또는 송신 포트를 구성하는 동안 바인딩 탭의 BizTalk Server AcceptCredentialsInUri 바인딩 속성을 사용할 수 없습니다. AcceptCredentialsInUri 바인딩 속성의 값을 설정하려면 어댑터 서비스 추가 기능 사용을 사용하여 메타데이터를 생성한 후 생성된 어댑터 바인딩 파일(XML 파일)을 연 다음 파일에서 이 바인딩 속성을 찾아야 합니다. 이 바인딩 속성에 적절한 값을 지정하고 바인딩 파일을 저장한 다음 BizTalk Server 바인딩 파일을 가져옵니다. 지침은 SAP 어댑터 바인딩 다시 사용을 참조하세요.