通过

SQL 适配器与 BizTalk Server 之间的安全性

  • 项目

使用 BizTalk Server 管理控制台或使用使用适配器服务 BizTalk 项目加载项检索 BizTalk 解决方案的消息架构时,) 配置发送端口或接收端口 (位置时,必须提供SQL Server数据库的凭据。 请务必以安全的方式提供这些凭据,以帮助防止它们被泄露给潜在的恶意参与者。 本主题讨论如何最安全地为 microsoft BizTalk 适配器提供凭据,以便SQL Server BizTalk Server解决方案。

有关 BizTalk 解决方案上下文中安全性的更一般性讨论是一个广泛的主题,超出了本文档的范围。 有关如何使 BizTalk 解决方案更安全的信息,请参阅 保护 BizTalk 消息

使用使用适配器服务 BizTalk 项目加载项时,如何保护凭据?

使用“使用适配器服务外接程序”检索 BizTalk 解决方案的消息架构时,必须从“配置适配器”对话框的“安全性”选项卡中提供用户名和密码。 “使用适配器服务加载项”将不允许你在 “配置 URI” 字段中设置凭据。 这通过防止凭据以明文形式显示来提高安全性。 有关如何使用“使用适配器服务”加载项检索消息架构的详细信息,包括如何输入SQL Server数据库的用户名和密码,请参阅使用 SQL 适配器在 Visual Studio 中获取SQL Server操作的元数据

配置发送端口或接收位置时如何保护凭据?

BizTalk 解决方案使用 Microsoft BizTalk WCF-Custom 适配器来使用 WCF 服务。 SQL 适配器是一个 WCF 自定义绑定,使客户端能够像使用 WCF 服务一样使用SQL Server数据库。 BizTalk 解决方案通过配置为使用 WCF-Custom 适配器的发送端口和接收位置使用 SQL 适配器。 WCF-Custom 适配器又配置为使用 SQL 适配器作为传输。 有关如何配置发送端口和接收端口 (接收位置) 的详细信息,包括如何配置 WCF-Custom 适配器,请参阅 手动配置到 SQL 适配器的物理端口绑定

可以从“WCF-自定义传输属性”对话框的“凭据”选项卡为发送端口配置SQL Server数据库凭据,或者从接收位置的“WCF-自定义传输属性”对话框的“其他”选项卡中配置数据库凭据。 由于 WCF-Custom 适配器支持企业单一 Sign-On (SSO) ,因此还可以选择在这些选项卡上提供用户名和密码或 SSO 关联应用程序。 以下主题讨论这两个选项。

用户名密码凭据

应仅从“凭据”选项卡 (为“发送端口) ”或“WCF-自定义传输属性”对话框中) 接收位置的“其他”选项卡 (提供用户名和密码。 这可确保满足以下条件:

  • 凭据不会显示在对话框的 “地址 (URI) ”字段中。 这可以防止有权访问你的屏幕 (或有权查看发送端口或接收位置属性的用户) 查看你的凭据。

  • 如果导出发送端口或接收端口绑定,则不会将密码写入绑定文件。 这会阻止有权访问该文件的任何人查看你的密码。

企业单一 Sign-On 和 SSO 关联应用程序

可以配置 WCF-Custom 适配器,使其使用企业单一登录 (SSO) 来获取 SQL Server 数据库的凭据。 SSO 使用数据库和主机密来加密和存储用户凭据。 它还提供服务,用于将 Microsoft Windows 帐户映射到用于访问后端系统的辅助凭据。 通过使用 SSO,可以将 Windows 帐户映射到 SQL Server 数据库中的用户名和密码。

SSO 使用 关联应用程序和SSO 映射 将凭据映射到后端系统。 关联应用程序是 SSO 中的逻辑实体,它引用需要辅助凭据的系统或应用程序。 SSO 映射与关联应用程序相关联。 它将 Windows 帐户映射到该帐户用于访问关联系统或应用程序的辅助凭据。 SSO 映射可以与 Windows 用户帐户或组相关联。

若要将 SSO 与 SQL 适配器一起使用,必须执行以下操作。

  1. 在 SSO 中创建关联应用程序,以保存 SQL Server 数据库的用户名密码凭据。 此步骤通常由具有特殊类型 SSO 管理权限的人员执行。

  2. 为关联应用程序创建用户或组映射,用于将 Windows 帐户映射到用于与 SQL Server 数据库建立连接的用户名和密码。 根据安装情况,用户可能能够执行此步骤,或者可能需要具有特殊类型 SSO 管理权限的人员。

注意

配置 SSO 时,WCF-Custom 适配器使用 SSO 提供的服务从 SSO 数据库获取SQL Server用户名和密码。 它向 SQL 适配器提供这些 (未加密) ,以便适配器可以打开与 SQL Server 数据库的连接。 SSO 在 SQL 适配器与 SQL Server 数据库之间的连接中不提供加密或保护。

有关如何使用 SSO 的信息,包括如何创建关联应用程序和 SSO 映射的信息,请参阅 使用 SSO。 有关 SSO 的更多常规信息,请参阅 实现企业单一登录

AcceptCredentialsInUri 绑定属性

SQL 适配器不支持 AcceptCredentialsInUri 绑定属性。 连接 URI 中绝不允许使用凭据。

另请参阅

保护 SQL 应用程序
保护 SQL 适配器的最佳做法