Oracle 数据库适配器和BizTalk Server的安全性
使用 BizTalk Server 管理控制台或使用适配器服务 BizTalk 项目加载项) 配置发送端口或接收端口 (位置时,必须提供 Oracle 数据库的凭据。 请务必以安全的方式提供这些凭据,以帮助防止它们泄露给潜在的恶意参与者。 本主题讨论如何最安全地为 Microsoft BizTalk Adapter for Oracle Database for BizTalk Server 解决方案提供凭据。
有关 BizTalk 解决方案上下文中安全性的更一般性讨论是一个广泛的主题,超出了本文档的范围。 有关如何使 BizTalk 解决方案更安全的信息,请参阅 保护 BizTalk 消息。
使用使用适配器服务 BizTalk 项目外接程序或添加适配器元数据向导时,如何保护凭据?
使用适配器服务加载项检索 BizTalk 解决方案的消息架构时,必须提供 Oracle 数据库的用户名和密码。 应仅从“配置适配器”对话框上的“安全”选项卡执行此操作。 这可确保凭据不会显示在“使用适配器服务加载项”对话框的 “配置 URI ”字段中,可访问计算机屏幕的任何人都可以读取凭据。 有关如何使用使用适配器服务加载项检索消息架构的详细信息,包括如何输入 Oracle 数据库的用户名和密码,请参阅 在 Visual Studio 中获取 Oracle 操作的元数据。
配置发送端口或接收位置时如何保护凭据?
BizTalk 解决方案使用 Microsoft BizTalk WCF-Custom 适配器来使用 WCF 服务。 Oracle 数据库适配器是一种 WCF 自定义绑定,使客户端能够像使用 WCF 服务一样使用 Oracle 数据库。 BizTalk 解决方案通过配置为使用 WCF-Custom 适配器的发送端口和接收位置使用 Oracle 数据库适配器,后者又配置为使用 Oracle 数据库适配器作为其传输。 有关如何配置发送端口和接收端口 (接收位置) 的详细信息,包括如何配置 WCF-Custom 适配器,请参阅 手动配置到 Oracle 数据库适配器的物理端口绑定。
可以从“WCF-自定义传输属性”对话框的“凭据”选项卡为发送端口配置 Oracle 数据库凭据,或者从“WCF-自定义传输属性”对话框的“其他”选项卡中为接收位置配置 Oracle 数据库凭据。 由于 WCF-Custom 适配器支持企业单一 Sign-On (SSO) ,因此可以选择在以下任一选项卡上提供用户名和密码或 SSO 关联应用程序。 以下主题讨论这两个选项。
用户名密码凭据
应仅从“ 凭据 ”选项卡 (为发送端口) 或“ 其他 ”选项卡 (提供“ WCF-自定义传输属性 ”对话框中) 接收位置的用户名和密码。 这可确保满足以下条件:
凭据不会显示在对话框 的“地址 (URI) ”字段中。 这可以防止有权访问你的屏幕 (或有权查看发送端口或接收位置属性的用户) 查看凭据。
如果导出发送端口或接收端口绑定,则不会将密码写入绑定文件。 这可以防止有权访问该文件的任何人查看你的密码。
企业单一 Sign-On 和 SSO 关联应用程序
可以将 WCF-Custom 适配器配置为使用企业单一登录 (SSO) 来获取 Oracle 数据库的凭据。 SSO 使用数据库和主机密来加密和存储用户凭据。 它还提供将 Microsoft Windows 帐户映射到用于访问后端系统的辅助凭据的服务。 通过使用 SSO,可以将 Windows 帐户映射到 Oracle 数据库上的用户名和密码。
SSO 使用 关联应用程序和SSO 映射 将凭据映射到后端系统。 关联应用程序是 SSO 中的逻辑实体,它引用需要辅助凭据的系统或应用程序。 SSO 映射与关联应用程序相关联。 它将 Windows 帐户映射到该帐户用于访问关联系统或应用程序的辅助凭据。 SSO 映射可以与 Windows 用户帐户或组相关联。
若要将 SSO 与 Oracle 数据库适配器配合使用,必须执行以下操作。
在 SSO 中创建关联应用程序,以保存 Oracle 数据库的用户名密码凭据。 此步骤通常由具有特殊类型的 SSO 管理权限的人员执行。
为关联应用程序创建用户或组映射,用于将 Windows 帐户映射到用于与 Oracle 数据库建立连接的用户名和密码。 根据安装情况,用户可能能够执行此步骤,或者可能需要具有特殊类型的 SSO 管理权限的人员。
注意
配置 SSO 时,WCF-Custom 适配器使用 SSO 提供的服务从 SSO 数据库获取 Oracle 用户名和密码。 它向 Oracle 数据库适配器提供这些 (未加密) ,以便适配器可以打开与 Oracle 数据库的连接。 SSO 在 Oracle 数据库适配器和 Oracle 数据库之间的连接中不提供加密或保护。
有关如何使用 SSO 的信息,包括有关如何创建关联应用程序和 SSO 映射的信息,请参阅 使用 SSO。 有关 SSO 的更多常规信息,请参阅 实现企业单一登录。
AcceptCredentialsInUri 绑定属性
Oracle 数据库适配器显示 AcceptCredentialsInUri 绑定属性。 此属性确定是否允许在连接 URI 中使用 Oracle 数据库凭据。 默认情况下, AcceptCredentialsInUri 为 false ,如果凭据包含在 URI 中,Oracle 数据库适配器将引发异常。
之所以显示此属性,是因为某些编程方案要求凭据存在于连接 URI 中。 在配置发送端口或接收位置时,或者使用适配器服务外接程序从 Oracle 数据库适配器检索消息架构时,应永远不会发生这种情况。 建议不要将 AcceptCredentialsInUri 设置为 true。 有关 Oracle 数据库适配器绑定属性的详细信息,请参阅 配置 Oracle 数据库的绑定属性。
在配置 WCF-Custom 或 WCF-OracleDB 接收或发送端口时,AcceptCredentialsInUri 绑定属性在“绑定”选项卡的BizTalk Server中不可用。 若要设置 AcceptCredentialsInUri 绑定属性的值,必须在使用适配器服务外接程序生成元数据后 (XML 文件) 打开适配器绑定文件,然后在该文件中找到此绑定属性。 为此绑定属性指定适当的值,保存绑定文件,然后在 BizTalk Server 中导入绑定文件。 请参阅 重用 SQL 适配器绑定。