Oracle Database アダプターとBizTalk Serverを使用したセキュリティ
BizTalk Server管理コンソールを使用して送信ポートまたは受信ポート (場所) を構成する場合、またはアダプター サービス BizTalk プロジェクト アドインを使用して BizTalk ソリューションのメッセージ スキーマを取得する場合は、Oracle データベースの資格情報を指定する必要があります。 これらの資格情報を安全な方法で指定して、悪意のある可能性のあるアクターに公開されないようにすることが重要です。 このトピックでは、Microsoft BizTalk Adapter for Oracle Database for BizTalk Server ソリューションの資格情報を最も安全に提供する方法について説明します。
BizTalk ソリューションのコンテキストでのセキュリティに関するより一般的な説明は、広範なトピックであり、このドキュメントの範囲を超えています。 BizTalk ソリューションのセキュリティを強化する方法については、「BizTalk メッセージの セキュリティ保護と保護」を参照してください。
アダプター サービス BizTalk プロジェクト アドインまたはアダプター メタデータの追加ウィザードを使用する場合、資格情報を保護するにはどうすればよいですか?
アダプター サービス アドインを使用して BizTalk ソリューションのメッセージ スキーマを取得する場合は、Oracle データベースのユーザー名とパスワードを指定する必要があります。 これは、[アダプターの構成] ダイアログ ボックスの [セキュリティ] タブからのみ行う必要があります。 これにより、[アダプター サービス アドインの使用] ダイアログ ボックスの [URI の構成 ] フィールドに資格情報が表示されなくなります。ここで、コンピューター画面へのアクセス権を持つすべてのユーザーが資格情報を読み取ることができます。 アダプター サービス アドインを使用してメッセージ スキーマを取得する方法 (Oracle データベースのユーザー名とパスワードの入力方法など) の詳細については、「 Visual Studio で Oracle 操作のメタデータを取得する」を参照してください。
送信ポートまたは受信場所を構成するときに資格情報を保護する方法
BizTalk ソリューションでは、Microsoft BizTalk WCF-Custom アダプターを使用して WCF サービスを使用します。 Oracle Database アダプターは、クライアントが ORACLE データベースを WCF サービスであるかのように使用できるようにする WCF カスタム バインドです。 BizTalk ソリューションは、送信ポートを介して Oracle Database アダプターを使用し、WCF-Custom アダプターを使用するように構成された受信場所 (さらに、Oracle Database アダプターをトランスポートとして使用するように構成) を使用します。 WCF-Custom アダプターを構成する方法など、送信ポートと受信ポート (受信場所) を構成する方法の詳細については、「 Oracle データベース アダプターへの物理ポート バインドを手動で構成する」を参照してください。
Oracle データベースの資格情報は、送信ポート用の [WCF-Custom トランスポート プロパティ] ダイアログ ボックスの [資格情報] タブ、または受信場所の [WCF-Custom Transport Properties] ダイアログ ボックスの [その他] タブから構成します。 WCF-Custom アダプターは Enterprise Single Sign-On (SSO) をサポートしているため、これらのタブのいずれかでユーザー名とパスワードまたは SSO 関連アプリケーションのいずれかを指定できます。 次のトピックでは、両方のオプションについて説明します。
ユーザー名のパスワード資格情報
ユーザー名とパスワードは、[WCF-Custom Transport Properties] ダイアログ ボックスの [資格情報] タブ (送信ポートの場合) または [その他] タブ (受信場所の場合) からのみ指定する必要があります。 これにより、以下が保証されます。
資格情報は、ダイアログ ボックスの [アドレス (URI)] フィールドには表示されません。 これにより、画面にアクセスできるユーザー (または送信ポートの表示や場所のプロパティの受信を可能にするアクセス許可を持つユーザー) に資格情報が表示されなくなります。
送信ポートをエクスポートするか、ポート バインドを受信した場合、パスワードはバインド ファイルに書き込まれません。 これにより、ファイルへのアクセス権を持つすべてのユーザーがパスワードを表示できなくなります。
Enterprise Single Sign-On および SSO 関連アプリケーション
エンタープライズ シングル サインオン (SSO) を使用して Oracle データベースの資格情報を取得するように、WCF-Custom アダプターを構成できます。 SSO では、データベースとマスター シークレットを使用して、ユーザーの資格情報を暗号化して格納します。 また、バックエンド システムへのアクセスに使用されるセカンダリ資格情報に Microsoft Windows アカウントをマップするサービスも提供します。 SSO を使用すると、Oracle データベースのユーザー名とパスワードに Windows アカウントをマップできます。
SSO では 、関連アプリケーション と SSO マッピング を使用して、資格情報をバックエンド システムにマップします。 関連アプリケーションは、SSO の論理エンティティであり、セカンダリ資格情報を必要とするシステムまたはアプリケーションを参照します。 SSO マッピングは、関連アプリケーションに関連付けられます。 Windows アカウントを、そのアカウントが関連システムまたはアプリケーションにアクセスするために使用するセカンダリ資格情報にマップします。 SSO マッピングは、Windows ユーザー アカウントまたはグループに関連付けることができます。
Oracle Database アダプターで SSO を使用するには、次の操作を行う必要があります。
SSO で関連アプリケーションを作成し、Oracle データベースのユーザー名パスワード資格情報を保持します。 この手順は、多くの場合、特殊な種類の SSO 管理特権を持つユーザーによって実行されます。
Oracle データベースとの接続を確立するために使用されるユーザー名とパスワードに Windows アカウントをマップする関連アプリケーションのユーザーまたはグループ マッピングを作成します。 インストールによっては、ユーザーがこの手順を実行できる場合や、特別な種類の SSO 管理特権を持つユーザーが必要になる場合があります。
Note
SSO 用に構成されている場合、WCF-Custom アダプターは SSO によって提供されるサービスを使用して、SSO データベースから Oracle ユーザー名とパスワードを取得します。 これらは (暗号化されずに) Oracle データベース アダプターに提供されるため、アダプターは Oracle データベースへの接続を開くことができます。 SSO では、Oracle Database アダプターと Oracle データベースの間の接続全体で暗号化や保護は提供されません。
関連アプリケーションと SSO マッピングの作成方法に関する情報など、SSO の使用方法については、「 SSO の使用」を参照してください。 SSO の一般的な情報については、「 Enterprise Single Sign-On の実装」を参照してください。
AcceptCredentialsInUri バインド プロパティ
Oracle Database アダプターは、 AcceptCredentialsInUri バインド プロパティを表示します。 このプロパティは、Oracle データベースの資格情報を接続 URI で許可するかどうかを決定します。 既定では、 AcceptCredentialsInUri は false であり、資格情報が URI に含まれている場合、Oracle Database アダプターは例外をスローします。
このプロパティは、接続 URI に資格情報を存在させる必要がある特定のプログラミング シナリオがあるために表示されます。 これは、送信ポートまたは受信場所を構成する場合、またはアダプター サービス アドインを使用して Oracle データベース アダプターからメッセージ スキーマを取得する場合には当てはめてはいけません。 AcceptCredentialsInUri を true に設定しないことをお勧めします。 Oracle Database アダプターのバインド プロパティの詳細については、「Oracle Database のバインド プロパティを構成する」を参照してください。
AcceptCredentialsInUri バインド プロパティは、WCF-Custom または WCF-OracleDB 受信ポートまたは送信ポートの構成中に、BizTalk Serverの [バインド] タブでは使用できません。 AcceptCredentialsInUri バインド プロパティの値を設定するには、アダプター サービス アドインを使用してメタデータを生成した後に作成されたアダプター バインド ファイル (XML ファイル) を開き、ファイル内でこのバインド プロパティを見つける必要があります。 このバインド プロパティに適切な値を指定し、バインド ファイルを保存して、バインド ファイルをBizTalk Serverにインポートします。 「SQL アダプター バインドを再利用する」を参照してください。