Sécurité avec l’adaptateur et le BizTalk Server Oracle Database
Lorsque vous configurez un port d’envoi ou un port de réception (emplacement) à l’aide de la console d’administration BizTalk Server ou que vous utilisez le complément De projet BizTalk service d’adaptateur de consommation pour récupérer les schémas de message d’une solution BizTalk, vous devez fournir des informations d’identification pour la base de données Oracle. Il est important de fournir ces informations d’identification de manière sécurisée pour éviter qu’elles ne soient révélées à des acteurs potentiellement malveillants. Cette rubrique explique comment fournir de manière sécurisée des informations d’identification pour l’adaptateur Microsoft BizTalk pour Oracle Database pour BizTalk Server solutions.
Une discussion plus générale sur la sécurité dans le contexte des solutions BizTalk est un sujet étendu qui dépasse la portée de cette documentation. Pour plus d’informations sur la façon de rendre vos solutions BizTalk plus sécurisées, consultez Sécuriser et protéger vos messages BizTalk.
Comment protéger les informations d’identification lorsque j’utilise le complément de projet BizTalk du service d’adaptateur de consommation ou l’Assistant Ajouter des métadonnées d’adaptateur ?
Lorsque vous utilisez le complément Consume Adapter Service pour récupérer les schémas de message d’une solution BizTalk, vous devez fournir un nom d’utilisateur et un mot de passe pour la base de données Oracle. Vous ne devez effectuer cette opération qu’à partir de l’onglet Sécurité de la boîte de dialogue Configurer l’adaptateur . Cela garantit que vos informations d’identification ne seront pas affichées dans le champ Configurer un URI de la boîte de dialogue Consommer le complément service d’adaptateur, où toute personne ayant accès à l’écran de votre ordinateur peut les lire. Pour plus d’informations sur la récupération de schémas de message à l’aide du complément Consume Adapter Service, notamment sur la façon d’entrer un nom d’utilisateur et un mot de passe pour la base de données Oracle, consultez Obtenir des métadonnées pour les opérations Oracle dans Visual Studio.
Comment protéger les informations d’identification lorsque je configure un port d’envoi ou un emplacement de réception ?
Les solutions BizTalk utilisent l’adaptateur de WCF-Custom Microsoft BizTalk pour consommer les services WCF. L’adaptateur Oracle Database est une liaison personnalisée WCF qui permet aux clients de consommer la base de données Oracle comme s’il s’agissait d’un service WCF. Les solutions BizTalk utilisent l’adaptateur Oracle Database via des ports d’envoi et des emplacements de réception configurés pour utiliser l’adaptateur WCF-Custom, qui est, à son tour, configuré pour utiliser l’adaptateur Oracle Database comme transport. Pour plus d’informations sur la configuration des ports d’envoi et des ports de réception (emplacements de réception), notamment sur la configuration de l’adaptateur WCF-Custom, consultez Configurer manuellement une liaison de port physique à l’adaptateur de base de données Oracle.
Vous configurez les informations d’identification de base de données Oracle à partir de l’onglet Informations d’identification de la boîte de dialogue Propriétés de transport WCF-Custom Pour les ports d’envoi ou de l’onglet Autres de la boîte de dialogue Propriétés de transport personnalisées WCF pour les emplacements de réception. Étant donné que l’adaptateur WCF-Custom prend en charge enterprise single Sign-On (SSO), vous pouvez choisir de fournir un nom d’utilisateur et un mot de passe ou une application associée à l’authentification unique dans l’un de ces onglets. Les rubriques suivantes traitent des deux options.
Informations d’identification du mot de passe de nom d’utilisateur
Vous devez uniquement fournir un nom d’utilisateur et un mot de passe à partir de l’onglet Informations d’identification (pour les ports d’envoi) ou de l’onglet Autre (pour les emplacements de réception) dans la boîte de dialogue Propriétés de transport personnalisées WCF . Cela garantit les éléments suivants :
Vos informations d’identification ne s’affichent pas dans le champ Adresse (URI) de la boîte de dialogue. Cela empêche ceux qui ont accès à votre écran (ou qui disposent d’autorisations qui leur permettent d’afficher les propriétés du port d’envoi ou de l’emplacement de réception) de voir vos informations d’identification.
Votre mot de passe n’est pas écrit dans le fichier de liaison si vous exportez le port d’envoi ou la liaison de port de réception. Cela empêche toute personne ayant accès au fichier d’afficher votre mot de passe.
Applications associées à l'Sign-On authentification unique et à l’authentification unique d’entreprise
Vous pouvez configurer l’adaptateur WCF-Custom pour utiliser l’authentification unique d’entreprise (SSO) pour obtenir les informations d’identification de la base de données Oracle. L’authentification unique utilise une base de données et un secret master pour chiffrer et stocker les informations d’identification utilisateur. Il fournit également des services pour mapper des comptes Microsoft Windows aux informations d’identification secondaires utilisées pour accéder à un système principal. À l’aide de l’authentification unique, vous pouvez mapper un compte Windows à un nom d’utilisateur et un mot de passe sur la base de données Oracle.
L’authentification unique utilise des applications affiliées et des mappages d’authentification unique pour mapper les informations d’identification au système principal. Une application affiliée est une entité logique dans l’authentification unique qui fait référence à un système ou à une application qui nécessite des informations d’identification secondaires. Un mappage d’authentification unique est associé à une application affiliée. Il mappe un compte Windows aux informations d’identification secondaires utilisées par ce compte pour accéder au système ou à l’application affilié. Un mappage d’authentification unique peut être associé à un compte d’utilisateur Windows ou à un groupe.
Pour utiliser l’authentification unique avec l’adaptateur Oracle Database, vous devez effectuer les opérations suivantes.
Créez une application associée dans l’authentification unique pour contenir les informations d’identification de mot de passe du nom d’utilisateur pour la base de données Oracle. Cette étape est souvent effectuée par une personne disposant de types spéciaux de privilèges d’administration de l’authentification unique.
Créez un mappage d’utilisateur ou de groupe pour l’application affiliée qui mappe votre compte Windows au nom d’utilisateur et au mot de passe utilisés pour établir une connexion avec la base de données Oracle. Selon votre installation, un utilisateur peut être en mesure d’effectuer cette étape ou nécessiter une personne disposant de types spéciaux de privilèges d’administration d’authentification unique.
Notes
Lorsqu’il est configuré pour l’authentification unique, l’adaptateur WCF-Custom utilise les services fournis par l’authentification unique pour obtenir le nom d’utilisateur et le mot de passe Oracle à partir de la base de données d’authentification unique. Il les fournit (non chiffrés) à l’adaptateur Oracle Database, afin que l’adaptateur puisse ouvrir une connexion à la base de données Oracle. L’authentification unique ne fournit aucun chiffrement ou protection sur la connexion entre l’adaptateur Oracle Database et la base de données Oracle.
Pour plus d’informations sur l’utilisation de l’authentification unique, notamment sur la création d’applications affiliées et de mappages d’authentification unique, consultez Utilisation de l’authentification unique. Pour plus d’informations générales sur l’authentification unique, consultez Implémentation de l’authentification unique d’entreprise.
Propriété de liaison AcceptCredentialsInUri
L’adaptateur Oracle Database fait apparaître la propriété de liaison AcceptCredentialsInUri . Cette propriété détermine si les informations d’identification de base de données Oracle sont autorisées dans l’URI de connexion. Par défaut, AcceptCredentialsInUri est false et l’adaptateur Oracle Database lève une exception si les informations d’identification sont incluses dans l’URI.
Cette propriété est exposée, car il existe certains scénarios de programmation qui nécessitent que les informations d’identification soient présentes dans l’URI de connexion. Cela ne doit jamais être le cas lorsque vous configurez un port d’envoi ou un emplacement de réception, ou lorsque vous utilisez le complément Consume Adapter Service pour récupérer des schémas de message à partir de l’adaptateur Oracle Database. Il est recommandé de ne pas définir AcceptCredentialsInUri sur true. Pour plus d’informations sur les propriétés de liaison de l’adaptateur Oracle Database, consultez Configurer les propriétés de liaison pour Oracle Database.
La propriété de liaison AcceptCredentialsInUri n’est pas disponible dans BizTalk Server sous l’onglet Liaison lors de la configuration d’un port de réception ou d’envoi WCF-Custom ou WCF-OracleDB. Pour définir la valeur de la propriété de liaison AcceptCredentialsInUri , vous devez ouvrir le fichier de liaisons d’adaptateur (fichier XML) créé après avoir généré des métadonnées à l’aide du complément Consume Adapter Service, puis localiser cette propriété de liaison dans le fichier. Spécifiez une valeur appropriée pour cette propriété de liaison, enregistrez le fichier de liaison, puis importez le fichier de liaison dans BizTalk Server. Consultez Réutiliser les liaisons d’adaptateur SQL.