Oracle Database 配接器的安全性和BizTalk Server
當您使用 BizTalk Server 管理主控台設定傳送埠或接收埠 (位置) ,或使用取用配接器服務 BizTalk 專案增益集來擷取 BizTalk 解決方案的訊息架構時,您必須提供 Oracle 資料庫的認證。 請務必以安全的方式提供這些認證,以協助防止這些認證被揭露給潛在的惡意執行者。 本主題討論如何安全地為適用于 BizTalk Server 解決方案的 Microsoft BizTalk Adapter for Oracle Database 提供認證。
BizTalk 解決方案內容中安全性的更一般討論是一個廣泛的主題,而且超出本檔的範圍。 如需如何讓您的 BizTalk 解決方案更安全的資訊,請參閱 保護和保護 BizTalk 訊息。
如何使用取用配接器服務 BizTalk 專案增益集或新增配接器中繼資料精靈來保護認證?
當您使用取用配接器服務增益集來擷取 BizTalk 解決方案的訊息架構時,您必須提供 Oracle 資料庫的使用者名稱和密碼。 您只應該從 [設定配接器] 對話方塊的 [安全性] 索引標籤執行此動作。 這可確保您的認證不會顯示在 [取用配接器服務增益集] 對話方塊的 [ 設定 URI ] 欄位中,而具有電腦畫面存取權的任何人都可以讀取認證。 如需如何使用取用配接器服務增益集擷取訊息架構的詳細資訊,包括如何輸入 Oracle 資料庫的使用者名稱和密碼,請參閱 在 Visual Studio 中取得 Oracle 作業的中繼資料。
如何在設定傳送埠或接收位置時保護認證?
BizTalk 解決方案會使用 Microsoft BizTalk WCF-Custom 配接器來取用 WCF 服務。 Oracle 資料庫配接器是 WCF 自訂系結,可讓用戶端使用 Oracle 資料庫,就像是 WCF 服務一樣。 BizTalk 解決方案會透過傳送埠和接收位置取用 Oracle Database 配接器,這些位置設定為使用 WCF-Custom 配接器,也就是設定為使用 Oracle Database 配接器作為傳輸。 如需如何設定傳送埠和接收埠 (接收位置) 的詳細資訊,包括如何設定 WCF-Custom 配接器,請參閱 手動設定實體埠系結至 Oracle 資料庫配接器。
您可以從[WCF-自訂傳輸內容] 對話方塊的 [認證] 索引標籤設定 Oracle 資料庫認證來傳送埠,或從接收位置之[WCF-自訂傳輸內容] 對話方塊的 [其他] 索引標籤設定。 由於 WCF-Custom 配接器支援 Enterprise Single Sign-On (SSO) ,因此您可以選擇在這些索引標籤上提供使用者名稱和密碼或 SSO 聯盟應用程式。 下列主題會討論這兩個選項。
使用者名稱密碼認證
您只應該從 [認證] 索引標籤提供使用者名稱和密碼, (用於傳送埠) ,或 [WCF-自訂傳輸內容] 對話方塊中接收位置) 的 [其他] 索引標籤 (。 這可確保下列各項:
您的認證不會顯示在對話方塊的 [ 位址 (URI) ] 欄位中。 這可防止有權存取螢幕 (或有權檢視傳送埠或接收位置屬性的人員,) 查看您的認證。
如果您匯出傳送埠或接收埠系結,您的密碼將不會寫入系結檔案。 這可防止任何人存取檔案,而無法檢視您的密碼。
Enterprise Single Sign-On 和 SSO 分支機搆應用程式
您可以將 WCF-Custom 配接器設定為使用 Enterprise Single Sign-on (SSO) 來取得 Oracle 資料庫的認證。 SSO 會使用資料庫和主要密碼來加密和儲存使用者認證。 它也提供服務,將 Microsoft Windows 帳戶對應至用來存取後端系統的次要認證。 藉由使用 SSO,您可以將 Windows 帳戶對應至 Oracle 資料庫上的使用者名稱和密碼。
SSO 會使用 分支機搆應用程式和SSO 對應 ,將認證對應至後端系統。 分支機搆應用程式是 SSO 中的邏輯實體,參考需要次要認證的系統或應用程式。 SSO 對應與分支機搆應用程式相關聯。 它會將 Windows 帳戶對應至該帳戶用來存取聯盟系統或應用程式的次要認證。 SSO 對應可以與 Windows 使用者帳戶或群組相關聯。
若要搭配 Oracle 資料庫配接器使用 SSO,您必須執行下列動作。
在 SSO 中建立分支機搆應用程式,以保存 Oracle 資料庫的使用者名稱密碼認證。 此步驟通常是由具有特殊 SSO 系統管理許可權類型的某人執行。
為聯盟應用程式建立使用者或群組對應,將 Windows 帳戶對應至用來建立與 Oracle 資料庫的連線的使用者名稱和密碼。 視您的安裝而定,使用者可能能夠執行此步驟,或可能需要具有特殊類型 SSO 系統管理許可權的人員。
注意
設定 SSO 時,WCF-Custom 配接器會使用 SSO 所提供的服務,從 SSO 資料庫取得 Oracle 使用者名稱和密碼。 它會將這些 (未加密的) 提供給 Oracle Database 配接器,讓配接器可以開啟與 Oracle 資料庫的連線。 SSO 不會在 Oracle 資料庫配接器與 Oracle 資料庫之間的連線之間提供加密或保護。
如需如何使用 SSO 的詳細資訊,包括如何建立聯盟應用程式和 SSO 對應的相關資訊,請參閱 使用 SSO。 如需 SSO 的一般資訊,請參閱 實作企業單一登入。
AcceptCredentialsInUri 系結屬性
Oracle 資料庫配接器會顯示 AcceptCredentialsInUri 系結屬性。 這個屬性會判斷連接 URI 中是否允許 Oracle 資料庫認證。 根據預設, AcceptCredentialsInUri 為 false ,而且如果 URI 中包含認證,Oracle 資料庫配接器會擲回例外狀況。
此屬性會呈現,因為有某些程式設計案例需要認證出現在連線 URI 中。 當您設定傳送埠或接收位置,或是使用取用配接器服務增益集從 Oracle 資料庫配接器擷取訊息架構時,應該永遠不會發生這種情況。 建議您不要將 AcceptCredentialsInUri 設定為 true。 如需 Oracle 資料庫配接器系結屬性的詳細資訊,請參閱 設定 Oracle Database 的系結屬性。
在設定 WCF-Custom 或 WCF-OracleDB 接收或傳送埠時,無法在 [系結] 索引標籤的 [BizTalk Server中使用AcceptCredentialsInUri系結屬性。 若要設定 AcceptCredentialsInUri 系結屬性的值,您必須開啟配接器系結檔案 (XML 檔案) ,該檔案是在您使用取用配接器服務增益集產生中繼資料之後所建立,然後在檔案中找出這個系結屬性。 指定這個系結屬性的適當值、儲存系結檔案,然後將系結檔案匯入BizTalk Server。 請參閱 重複使用 SQL 配接器系結。