Partager via

Sécurité avec l’adaptateur SAP et la BizTalk Server

  • Article

Lorsque vous configurez un port d’envoi ou un port de réception (emplacement) à l’aide de la console d’administration BizTalk Server ou que vous utilisez le complément de projet BizTalk service de l’adaptateur de consommation pour récupérer les schémas de message d’une solution BizTalk, vous devez fournir des informations d’identification pour le système SAP. Il est important de fournir ces informations d’identification de manière sécurisée pour éviter qu’elles ne soient révélées à des acteurs potentiellement malveillants. Cette rubrique explique comment fournir en toute sécurité des informations d’identification pour l’adaptateur Microsoft BizTalk pour mySAP Business Suite pour les solutions BizTalk Server.

Une discussion plus générale sur la sécurité dans le contexte des solutions BizTalk est un sujet étendu qui dépasse le cadre de cette documentation. Pour plus d’informations sur la façon dont vous pouvez rendre vos solutions BizTalk plus sécurisées, consultez Sécuriser et protéger vos messages BizTalk.

Comment protéger les informations d’identification quand j’utilise le complément de projet BizTalk de service d’adaptateur ?

Lorsque vous utilisez le complément Consume Adapter Service pour récupérer les schémas de message d’une solution BizTalk, vous devez fournir un nom d’utilisateur et un mot de passe pour le système SAP. Vous ne devez le faire qu’à partir de l’onglet Sécurité de la boîte de dialogue Configurer l’adaptateur . Cela garantit que vos informations d’identification ne seront pas affichées dans le champ URI de la boîte de dialogue Consommer le complément de service d’adaptateur, où toute personne ayant accès à l’écran de votre ordinateur peut les lire. Pour plus d’informations sur la façon de récupérer des schémas de message à l’aide du complément Consume Adapter Service, notamment sur la façon d’entrer un nom d’utilisateur et un mot de passe pour le système SAP, consultez Obtenir des métadonnées pour les opérations SAP dans Visual Studio.

Comment protéger les informations d’identification lorsque je configure un port d’envoi ou un emplacement de réception ?

Les solutions BizTalk utilisent l’adaptateur de WCF-Custom Microsoft BizTalk pour consommer les services WCF. L’adaptateur SAP est une liaison personnalisée WCF qui permet aux clients de consommer le système SAP comme s’il s’agissait d’un service WCF. Les solutions BizTalk consomment l’adaptateur SAP via des ports d’envoi et des emplacements de réception configurés pour utiliser l’adaptateur WCF-Custom, qui est à son tour configuré pour utiliser l’adaptateur SAP comme transport. Pour plus d’informations sur la configuration des ports d’envoi et de réception (emplacements de réception), notamment sur la configuration de l’adaptateur WCF-Custom, consultez Configurer manuellement une liaison de port physique à l’adaptateur SAP.

Vous configurez les informations d’identification système SAP sous l’onglet Informations d’identification de la boîte de dialogue Propriétés de transport WCF-Custom Transport Pour les ports d’envoi ou à partir de l’onglet Autre de la boîte de dialogue Propriétés de transport WCF-Custom pour les emplacements de réception. Étant donné que l’adaptateur WCF-Custom prend en charge enterprise single Sign-On (SSO), vous pouvez choisir de fournir un nom d’utilisateur et un mot de passe ou une application affiliée à l’authentification unique sur l’un de ces onglets. Les rubriques suivantes traitent des deux options.

Informations d’identification du mot de passe du nom d’utilisateur

Vous ne devez fournir un nom d’utilisateur et un mot de passe qu’à partir de l’onglet Informations d’identification (pour les ports d’envoi) ou de l’onglet Autre (pour les emplacements de réception) dans la boîte de dialogue Propriétés de transport personnalisées WCF . Cela garantit les éléments suivants :

  • Vos informations d’identification ne s’affichent pas dans le champ URI de la boîte de dialogue. Cela empêche ceux qui ont accès à votre écran (ou qui disposent d’autorisations leur permettant d’afficher les propriétés du port d’envoi ou de l’emplacement de réception) de voir vos informations d’identification.

  • Votre mot de passe ne sera pas écrit dans le fichier de liaison si vous exportez le port d’envoi ou la liaison de port de réception. Cela empêche toute personne ayant accès au fichier d’afficher votre mot de passe.

Applications associées Sign-On à l’authentification unique et à l’authentification unique d’entreprise

Vous pouvez configurer l’adaptateur WCF-Custom pour utiliser l’authentification unique pour obtenir les informations d’identification du système SAP. L’authentification unique utilise une base de données et un secret master pour chiffrer et stocker les informations d’identification de l’utilisateur. Il fournit également des services pour mapper les comptes Microsoft Windows aux informations d’identification secondaires utilisées pour accéder à un système principal. En utilisant l’authentification unique, vous pouvez mapper un compte Windows à un nom d’utilisateur et un mot de passe sur le système SAP.

L’authentification unique utilise des applications affiliées et des mappages SSO pour mapper les informations d’identification au système back-end. Une application affiliée est une entité logique dans l’authentification unique qui fait référence à un système ou à une application qui nécessite des informations d’identification secondaires. Un mappage d’authentification unique est associé à une application affiliée. Il mappe un compte Windows aux informations d’identification secondaires utilisées par ce compte pour accéder au système ou à l’application affilié. Un mappage de l’authentification unique peut être associé à un compte d’utilisateur Windows ou à un groupe.

Pour utiliser l’authentification unique avec l’adaptateur SAP, vous devez effectuer les opérations suivantes.

  1. Créez une application affiliée dans l’authentification unique pour conserver les informations d’identification du mot de passe du nom d’utilisateur pour le système SAP. Cette étape est souvent effectuée par une personne disposant de types spéciaux de privilèges d’administration de l’authentification unique.

  2. Créez un mappage d’utilisateur ou de groupe pour l’application affiliée qui mappe votre compte Windows au nom d’utilisateur et au mot de passe utilisés pour établir une connexion avec le système SAP. Selon votre installation, un utilisateur peut être en mesure d’effectuer cette étape ou nécessiter une personne disposant de types spéciaux de privilèges d’administration de l’authentification unique.

Notes

Lorsqu’il est configuré pour l’authentification unique, l’adaptateur WCF-Custom utilise les services fournis par l’authentification unique pour obtenir le nom d’utilisateur et le mot de passe SAP à partir de la base de données de l’authentification unique. Il les fournit (non chiffrés) à l’adaptateur SAP, afin que l’adaptateur puisse ouvrir une connexion au système SAP. L’authentification unique ne fournit aucun chiffrement ou protection sur l’ensemble de la connexion entre l’adaptateur SAP et le système SAP.

Pour plus d’informations sur l’utilisation de l’authentification unique, notamment sur la création d’applications affiliées et de mappages d’authentification unique, consultez Utilisation de l’authentification unique. Pour plus d’informations générales sur l’authentification unique, consultez Implémentation de l’authentification unique d’entreprise.

La propriété de liaison AcceptCredentialsInUri

L’adaptateur SAP affiche la propriété de liaison AcceptCredentialsInUri . Cette propriété détermine si les informations d’identification système SAP sont autorisées dans l’URI de connexion. Par défaut, AcceptCredentialsInUri a la valeur false et l’adaptateur SAP lève une exception si les informations d’identification sont incluses dans l’URI.

Cette propriété est exposée, car certains scénarios de programmation nécessitent la présence des informations d’identification dans l’URI de connexion. Cela ne doit jamais être le cas lorsque vous configurez un port d’envoi ou un emplacement de réception, ou lorsque vous utilisez le complément Consume Adapter Service pour récupérer des schémas de message à partir de l’adaptateur SAP. Dans ce cas, il est recommandé de ne pas définir AcceptCredentialsInUri sur true. Pour plus d’informations sur les propriétés de liaison de l’adaptateur SAP, consultez En savoir plus sur les propriétés de liaison de l’adaptateur BizTalk pour ORacle E-Business Suite.

La propriété de liaison AcceptCredentialsInUri n’est pas disponible dans BizTalk Server sous l’onglet Liaison lors de la configuration d’un port de réception ou d’envoi WCF-Custom ou WCF-SAP. Pour définir la valeur de la propriété de liaison AcceptCredentialsInUri , vous devez ouvrir le fichier de liaisons d’adaptateur (fichier XML) créé après avoir généré des métadonnées à l’aide du complément Consume Adapter Service, puis localiser cette propriété de liaison dans le fichier. Spécifiez une valeur appropriée pour cette propriété de liaison, enregistrez le fichier de liaison, puis importez le fichier de liaison dans BizTalk Server. Pour obtenir des instructions, consultez Réutiliser les liaisons d’adaptateur SAP .

Voir aussi

Meilleures pratiques pour sécuriser l’adaptateur SAP
Sécuriser vos applications SAP