共用方式為


SAP 配接器和BizTalk Server的安全性

當您使用 BizTalk Server 管理主控台設定傳送埠或接收埠 (位置) ,或使用取用配接器服務 BizTalk 專案增益集來擷取 BizTalk 解決方案的訊息架構時,您必須提供 SAP 系統的認證。 請務必以安全的方式提供這些認證,以協助防止這些認證被揭露給潛在的惡意執行者。 本主題討論如何安全地為適用于 mySAP Business Suite 的 Microsoft BizTalk Adapter for mySAP Business Suite 提供BizTalk Server解決方案的認證。

BizTalk 解決方案內容中安全性的更一般討論是一個廣泛的主題,而且超出本檔的範圍。 如需如何讓您的 BizTalk 解決方案更安全的資訊,請參閱 保護和保護 BizTalk 訊息

如何使用取用配接器服務 BizTalk 專案增益集來保護認證?

當您使用取用配接器服務增益集來擷取 BizTalk 解決方案的訊息架構時,您必須提供 SAP 系統的使用者名稱和密碼。 您只應該從 [設定配接器] 對話方塊的 [安全性] 索引標籤執行此動作。 這可確保您的認證不會顯示在 [取用配接器服務增益集] 對話方塊的 [URI ] 欄位中,任何有權存取電腦畫面的人員都可以讀取認證。 如需如何使用取用配接器服務增益集擷取訊息架構的詳細資訊,包括如何輸入 SAP 系統的使用者名稱和密碼,請參閱 在 Visual Studio 中取得 SAP 作業的中繼資料

如何在設定傳送埠或接收位置時保護認證?

BizTalk 解決方案會使用 Microsoft BizTalk WCF-Custom 配接器來取用 WCF 服務。 SAP 配接器是 WCF 自訂系結,可讓用戶端取用 SAP 系統,就像是 WCF 服務一樣。 BizTalk 解決方案會透過傳送埠和接收位置取用 SAP 配接器,這些位置設定為使用 WCF-Custom 配接器,也就是設定為使用 SAP 配接器作為傳輸。 如需如何設定傳送埠和接收埠 (接收位置) 的詳細資訊,包括如何設定 WCF-Custom 配接器,請參閱 手動設定實體埠系結至 SAP 配接器

您可以從[WCF-自訂傳輸內容] 對話方塊的 [認證] 索引標籤設定 SAP 系統認證來傳送埠,或從接收位置之[WCF 自訂傳輸內容] 對話方塊的 [其他] 索引標籤設定 SAP 系統認證。 由於 WCF-Custom 配接器支援 Enterprise Single Sign-On (SSO) ,因此您可以選擇在這些索引標籤上提供使用者名稱和密碼或 SSO 聯盟應用程式。 下列主題會討論這兩個選項。

使用者名稱密碼認證

您只應該從 [認證] 索引標籤提供使用者名稱和密碼, (用於傳送埠) ,或 [WCF-自訂傳輸內容] 對話方塊中接收位置) 的 [其他] 索引標籤 (。 這可確保下列各項:

  • 您的認證將不會顯示在對話方塊的 [URI ] 欄位中。 這可防止有權存取螢幕 (或有權檢視傳送埠或接收位置屬性的人員,) 查看您的認證。

  • 如果您匯出傳送埠或接收埠系結,您的密碼將不會寫入系結檔案。 這可防止任何人存取檔案,而無法檢視您的密碼。

Enterprise Single Sign-On 和 SSO 分支機搆應用程式

您可以將 WCF-Custom 配接器設定為使用 SSO 來取得 SAP 系統的認證。 SSO 會使用資料庫和主要密碼來加密和儲存使用者認證。 它也提供服務,將 Microsoft Windows 帳戶對應至用來存取後端系統的次要認證。 藉由使用 SSO,您可以將 Windows 帳戶對應至 SAP 系統上的使用者名稱和密碼。

SSO 會使用 分支機搆應用程式和SSO 對應 ,將認證對應至後端系統。 分支機搆應用程式是 SSO 中的邏輯實體,參考需要次要認證的系統或應用程式。 SSO 對應與分支機搆應用程式相關聯。 它會將 Windows 帳戶對應至該帳戶用來存取聯盟系統或應用程式的次要認證。 SSO 對應可以與 Windows 使用者帳戶或群組相關聯。

若要搭配 SAP 配接器使用 SSO,您必須執行下列動作。

  1. 在 SSO 中建立分支機搆應用程式,以保存 SAP 系統的使用者名稱密碼認證。 此步驟通常是由具有特殊 SSO 系統管理許可權類型的某人執行。

  2. 為聯盟應用程式建立使用者或群組對應,以將 Windows 帳戶對應至用來建立與 SAP 系統的連線的使用者名稱和密碼。 視您的安裝而定,使用者可能能夠執行此步驟,或可能需要具有特殊類型 SSO 系統管理許可權的人員。

注意

針對 SSO 設定時,WCF-Custom 配接器會使用 SSO 所提供的服務,從 SSO 資料庫取得 SAP 使用者名稱和密碼。 它會將這些 (未加密的) 提供給 SAP 配接器,讓介面卡可以開啟與 SAP 系統的連線。 SSO 不會在 SAP 配接器與 SAP 系統之間提供任何加密或保護。

如需如何使用 SSO 的詳細資訊,包括如何建立聯盟應用程式和 SSO 對應的相關資訊,請參閱 使用 SSO。 如需 SSO 的一般資訊,請參閱 實作企業單一登入

AcceptCredentialsInUri 系結屬性

SAP 配接器會顯示 AcceptCredentialsInUri 系結屬性。 這個屬性會判斷連線 URI 中是否允許 SAP 系統認證。 根據預設, AcceptCredentialsInUrifalse ,而且如果 URI 中包含認證,SAP 配接器會擲回例外狀況。

此屬性會呈現,因為有某些程式設計案例需要認證出現在連線 URI 中。 當您設定傳送埠或接收位置,或是使用取用配接器服務增益集從 SAP 配接器擷取訊息架構時,應該永遠不會發生這種情況。 在這種情況下,建議您不要將 AcceptCredentialsInUri 設定為 true。 如需 SAP 配接器系結屬性的詳細資訊,請參閱 閱讀 BizTalk Adapter for ORacle E-Business Suite 系結屬性

設定 WCF-Custom 或 WCF-SAP 接收或傳送埠時,無法在 [系結] 索引標籤的 [BizTalk Server中使用AcceptCredentialsInUri系結屬性。 若要設定 AcceptCredentialsInUri 系結屬性的值,您必須開啟配接器系結檔案 (XML 檔案) ,該檔案是在您使用取用配接器服務增益集產生中繼資料之後所建立,然後在檔案中找出這個系結屬性。 指定這個系結屬性的適當值、儲存系結檔案,然後將系結檔案匯入BizTalk Server。 如需指示 ,請參閱重複使用 SAP 配接器系 結。

另請參閱

保護 SAP 配接器的最佳做法
保護您的 SAP 應用程式