共用方式為

SQL 配接器與 BizTalk Server 之間的安全性

  • 發行項

當您使用 BizTalk Server 管理主控台設定傳送埠或接收埠 (位置) ,或使用取用配接器服務 BizTalk 專案增益集來擷取 BizTalk 解決方案的訊息架構時,您必須提供SQL Server資料庫的認證。 請務必以安全的方式提供這些認證,以協助防止這些認證向潛在惡意執行者顯示。 本主題討論如何為適用于BizTalk Server解決方案SQL Server的 Microsoft BizTalk 配接器提供最安全的認證。

BizTalk 解決方案內容中安全性的更一般討論是一個廣泛的主題,而且超出本檔的範圍。 如需如何讓您的 BizTalk 解決方案更安全的資訊,請參閱 保護及保護 BizTalk 訊息

如何使用取用配接器服務 BizTalk 專案增益集來保護認證?

當您使用取用配接器服務增益集來擷取 BizTalk 解決方案的訊息架構時,您必須從 [設定配接器] 對話方塊的 [安全性] 索引標籤提供使用者名稱和密碼。 [取用配接器服務增益集] 不會允許您在 [ 設定 URI ] 欄位中設定認證。 這可藉由防止認證以純文字顯示來改善安全性。 如需如何使用取用配接器服務增益集擷取訊息架構的詳細資訊,包括如何輸入SQL Server資料庫的使用者名稱和密碼,請參閱使用 SQL 配接器取得 Visual Studio 中SQL Server作業的中繼資料

如何在設定傳送埠或接收位置時保護認證?

BizTalk 解決方案會使用 Microsoft BizTalk WCF-Custom 配接器來取用 WCF 服務。 SQL 配接器是 WCF 自訂系結,可讓用戶端取用SQL Server資料庫,就像是 WCF 服務一樣。 BizTalk 解決方案會透過傳送埠和接收位置來取用 SQL 配接器,這些位置設定為使用 WCF-Custom 配接器。 WCF-Custom 配接器接著會設定為使用 SQL 配接器做為其傳輸。 如需如何設定傳送埠和接收埠的詳細資訊, (接收位置) ,包括如何設定 WCF-Custom 配接器,請參閱 手動設定 SQL 配接器的實體埠系結

您可以從[WCF-自訂傳輸屬性] 對話方塊的 [認證] 索引標籤,針對接收位置,或從[WCF-自訂傳輸屬性] 對話方塊的 [其他] 索引標籤,設定SQL Server資料庫認證。 由於 WCF-Custom 配接器支援 Enterprise Single Sign-On (SSO) ,因此您也可以選擇在這些索引標籤上提供使用者名稱和密碼或 SSO 聯盟應用程式。 下列主題將討論這兩個選項。

使用者名稱密碼認證

您應該只從 [認證] 索引標籤提供使用者名稱和密碼, (用於傳送埠) ,或 [其他] 索引標籤 (用於[WCF-自訂傳輸屬性] 對話方塊中的接收位置) 。 這可確保下列各項:

  • 您的認證將不會顯示在對話方塊的 [ 位址 (URI) ] 欄位中。 這可防止可存取螢幕 (或有權檢視傳送埠或接收位置屬性的人員,) 看到您的認證。

  • 如果您匯出傳送埠或接收通訊埠系結,密碼將不會寫入系結檔案。 這可防止具有檔案存取權的任何人檢視您的密碼。

企業單一 Sign-On 和 SSO 聯盟應用程式

您可以設定 WCF-Custom 配接器,讓它使用企業單一登入 (SSO) 來取得SQL Server資料庫的認證。 SSO 會使用資料庫和主要密碼來加密及儲存使用者認證。 它也提供服務,將 Microsoft Windows 帳戶對應至用來存取後端系統的次要認證。 藉由使用 SSO,您可以將 Windows 帳戶對應至SQL Server資料庫上的使用者名稱和密碼。

SSO 會使用 聯盟應用程式和SSO 對應 ,將認證對應至後端系統。 聯盟應用程式是 SSO 中的邏輯實體,參考需要次要認證的系統或應用程式。 SSO 對應與聯盟應用程式相關聯。 它會將 Windows 帳戶對應至該帳戶用來存取聯盟系統或應用程式的次要認證。 SSO 對應可以與 Windows 使用者帳戶或群組相關聯。

若要搭配 SQL 配接器使用 SSO,您必須執行下列動作。

  1. 在 SSO 中建立聯盟應用程式,以保存SQL Server資料庫的使用者名稱密碼認證。 此步驟通常是由具有特殊 SSO 系統管理許可權類型的某人執行。

  2. 為將 Windows 帳戶對應至使用者名稱和密碼的聯盟應用程式建立使用者或群組對應,以用來建立與SQL Server資料庫的連線。 視您的安裝而定,使用者可能能夠執行此步驟,或者可能需要具有特殊類型 SSO 系統管理許可權的人員。

注意

針對 SSO 設定時,WCF-Custom 配接器會使用 SSO 所提供的服務,從 SSO 資料庫取得SQL Server使用者名稱和密碼。 它會將這些 (未加密) 提供給 SQL 配接器,讓配接器可以開啟與SQL Server資料庫的連線。 SSO 不會在 SQL 配接器與SQL Server資料庫之間的連線之間提供加密或保護。

如需如何使用 SSO 的詳細資訊,包括如何建立聯盟應用程式和 SSO 對應的相關資訊,請參閱 使用 SSO。 如需 SSO 的一般資訊,請參閱 實作企業單一登入

AcceptCredentialsInUri 系結屬性

SQL 配接器不支援 AcceptCredentialsInUri 系結屬性。 連線 URI 中永遠不會允許認證。

另請參閱

保護您的 SQL 應用程式
保護 SQL 配接器的最佳做法