Partager via

Sécurité avec l’adaptateur SQL et BizTalk Server

  • Article

Lorsque vous configurez un port d’envoi ou un port de réception (emplacement) à l’aide de la console d’administration BizTalk Server ou que vous utilisez le complément De projet BizTalk du service d’adaptateur de consommation pour récupérer des schémas de message pour une solution BizTalk, vous devez fournir des informations d’identification pour la base de données SQL Server. Il est important de fournir ces informations d’identification de manière sécurisée pour éviter qu’elles ne soient révélées à des acteurs potentiellement malveillants. Cette rubrique explique comment fournir de manière sécurisée des informations d’identification pour l’adaptateur Microsoft BizTalk pour SQL Server pour les solutions BizTalk Server.

Une discussion plus générale sur la sécurité dans le contexte des solutions BizTalk est un sujet étendu qui dépasse la portée de cette documentation. Pour plus d’informations sur la façon de rendre vos solutions BizTalk plus sécurisées, consultez Sécuriser et protéger vos messages BizTalk.

Comment protéger les informations d’identification lorsque j’utilise le complément de projet BizTalk du service Consume Adapter ?

Lorsque vous utilisez le complément Consume Adapter Service pour récupérer les schémas de message d’une solution BizTalk, vous devez fournir le nom d’utilisateur et le mot de passe à partir de l’onglet Sécurité de la boîte de dialogue Configurer l’adaptateur . Le complément Consume Adapter Service ne vous permet pas de définir des informations d’identification dans le champ Configurer un URI . Cela améliore la sécurité en empêchant les informations d’identification d’apparaître en texte clair. Pour plus d’informations sur la façon de récupérer des schémas de message à l’aide du complément Consume Adapter Service, notamment sur la façon d’entrer un nom d’utilisateur et un mot de passe pour la base de données SQL Server, consultez Obtenir des métadonnées pour les opérations SQL Server dans Visual Studio à l’aide de l’adaptateur SQL.

Comment protéger les informations d’identification lorsque je configure un port d’envoi ou un emplacement de réception ?

Les solutions BizTalk utilisent l’adaptateur de WCF-Custom Microsoft BizTalk pour consommer les services WCF. L’adaptateur SQL est une liaison personnalisée WCF qui permet aux clients d’utiliser la base de données SQL Server comme s’il s’agissait d’un service WCF. Les solutions BizTalk utilisent l’adaptateur SQL via des ports d’envoi et des emplacements de réception configurés pour utiliser l’adaptateur WCF-Custom. L’adaptateur WCF-Custom est, à son tour, configuré pour utiliser l’adaptateur SQL comme transport. Pour plus d’informations sur la configuration des ports d’envoi et des ports de réception (emplacements de réception), notamment sur la configuration de l’adaptateur WCF-Custom, consultez Configurer manuellement une liaison de port physique à l’adaptateur SQL.

Vous configurez les informations d’identification de la base de données SQL Server à partir de l’onglet Informations d’identification de la boîte de dialogue Propriétés de transport WCF-Custom Pour les ports d’envoi ou de l’onglet Autres de la boîte de dialogue Propriétés de transport personnalisées WCF pour les emplacements de réception. Étant donné que l’adaptateur WCF-Custom prend en charge enterprise single Sign-On (SSO), vous pouvez également choisir de fournir un nom d’utilisateur et un mot de passe ou une application associée à l’authentification unique dans l’un de ces onglets. Les rubriques suivantes traitent des deux options.

Informations d’identification du mot de passe de nom d’utilisateur

Vous devez uniquement fournir un nom d’utilisateur et un mot de passe à partir de l’onglet Informations d’identification (pour les ports d’envoi) ou de l’onglet Autre (pour les emplacements de réception) dans la boîte de dialogue Propriétés de transport personnalisées WCF . Cela garantit les éléments suivants :

  • Vos informations d’identification ne s’affichent pas dans le champ Adresse (URI) de la boîte de dialogue. Cela empêche ceux qui ont accès à votre écran (ou qui disposent d’autorisations qui leur permettent d’afficher les propriétés du port d’envoi ou de l’emplacement de réception) de voir vos informations d’identification.

  • Votre mot de passe n’est pas écrit dans le fichier de liaison si vous exportez le port d’envoi ou la liaison de port de réception. Cela empêche toute personne ayant accès au fichier d’afficher votre mot de passe.

Applications associées à l'Sign-On authentification unique et à l’authentification unique d’entreprise

Vous pouvez configurer l’adaptateur WCF-Custom afin qu’il utilise l’authentification unique d’entreprise (SSO) pour obtenir les informations d’identification de la base de données SQL Server. L’authentification unique utilise une base de données et un secret master pour chiffrer et stocker les informations d’identification utilisateur. Il fournit également des services pour mapper des comptes Microsoft Windows aux informations d’identification secondaires utilisées pour accéder à un système principal. À l’aide de l’authentification unique, vous pouvez mapper un compte Windows à un nom d’utilisateur et un mot de passe sur la base de données SQL Server.

L’authentification unique utilise des applications affiliées et des mappages d’authentification unique pour mapper les informations d’identification au système principal. Une application affiliée est une entité logique dans l’authentification unique qui fait référence à un système ou à une application qui nécessite des informations d’identification secondaires. Un mappage d’authentification unique est associé à une application affiliée. Il mappe un compte Windows aux informations d’identification secondaires utilisées par ce compte pour accéder au système ou à l’application affilié. Un mappage d’authentification unique peut être associé à un compte d’utilisateur Windows ou à un groupe.

Pour utiliser l’authentification unique avec l’adaptateur SQL, vous devez effectuer les opérations suivantes.

  1. Créez une application associée dans l’authentification unique pour contenir les informations d’identification du mot de passe du nom d’utilisateur pour la base de données SQL Server. Cette étape est souvent effectuée par une personne disposant de types spéciaux de privilèges d’administration de l’authentification unique.

  2. Créez un mappage d’utilisateur ou de groupe pour l’application affiliée qui mappe votre compte Windows au nom d’utilisateur et au mot de passe utilisés pour établir une connexion avec la base de données SQL Server. Selon votre installation, un utilisateur peut être en mesure d’effectuer cette étape ou nécessiter une personne disposant de types spéciaux de privilèges d’administration d’authentification unique.

Notes

Lorsqu’il est configuré pour l’authentification unique, l’adaptateur WCF-Custom utilise les services fournis par l’authentification unique pour obtenir le nom d’utilisateur et le mot de passe SQL Server à partir de la base de données de l’authentification unique. Il les fournit (non chiffrés) à l’adaptateur SQL, afin que l’adaptateur puisse ouvrir une connexion à la base de données SQL Server. L’authentification unique ne fournit aucun chiffrement ou protection sur la connexion entre l’adaptateur SQL et la base de données SQL Server.

Pour plus d’informations sur l’utilisation de l’authentification unique, notamment sur la création d’applications affiliées et de mappages d’authentification unique, consultez Utilisation de l’authentification unique. Pour plus d’informations générales sur l’authentification unique, consultez Implémentation de l’authentification unique d’entreprise.

Propriété de liaison AcceptCredentialsInUri

L’adaptateur SQL ne prend pas en charge la propriété de liaison AcceptCredentialsInUri . Les informations d’identification ne sont jamais autorisées dans l’URI de connexion.

Voir aussi

Sécuriser vos applications SQL
Bonnes pratiques pour sécuriser l’adaptateur SQL