SAP アダプターとBizTalk Serverを使用したセキュリティ

BizTalk Server管理コンソールを使用して送信ポートまたは受信ポート (場所) を構成する場合、またはアダプター サービス BizTalk プロジェクト アドインを使用して BizTalk ソリューションのメッセージ スキーマを取得する場合は、SAP システムの資格情報を指定する必要があります。 これらの資格情報を安全な方法で指定して、悪意のある可能性のあるアクターに表示されないようにすることが重要です。 このトピックでは、microsoft BizTalk Adapter for mySAP Business Suite for BizTalk Server ソリューションの資格情報を最も安全に指定する方法について説明します。

BizTalk ソリューションのコンテキストでのセキュリティに関するより一般的な説明は、広範なトピックであり、このドキュメントの範囲を超えています。 BizTalk ソリューションのセキュリティを強化する方法については、「BizTalk メッセージのセキュリティ保護と保護」を参照してください。

アダプター サービス BizTalk プロジェクト アドインを使用するときに資格情報を保護する方法

アダプター サービス アドインを使用して BizTalk ソリューションのメッセージ スキーマを取得する場合は、SAP システムのユーザー名とパスワードを指定する必要があります。 これは、[アダプターの構成] ダイアログ ボックスの [セキュリティ] タブからのみ行う必要があります。 これにより、[アダプター サービス アドインの使用] ダイアログ ボックスの [Uri ] フィールドに資格情報が表示されなくなります。このダイアログ ボックスでは、コンピューター画面にアクセスできるすべてのユーザーが資格情報を読み取ることができます。 アダプター サービス アドインを使用してメッセージ スキーマを取得する方法 (SAP システムのユーザー名とパスワードの入力方法など) の詳細については、「 Visual Studio で SAP 操作のメタデータを取得する」を参照してください。

送信ポートまたは受信場所を構成するときに資格情報を保護するにはどうすればよいですか?

BizTalk ソリューションでは、Microsoft BizTalk WCF-Custom アダプターを使用して WCF サービスを使用します。 SAP アダプターは、クライアントが WCF サービスであるかのように SAP システムを使用できるようにする WCF カスタム バインドです。 BizTalk ソリューションは、送信ポートを介して SAP アダプターを使用し、WCF-Custom アダプターを使用するように構成された受信場所を使用します。これは、そのトランスポートとして SAP アダプターを使用するように構成されています。 WCF-Custom アダプターを構成する方法など、送信ポートと受信ポート (受信場所) を構成する方法の詳細については、「 SAP アダプターへの物理ポート バインドを手動で構成する」を参照してください。

SAP システム資格情報は、送信ポートの [WCF-Custom Transport Properties] ダイアログ ボックスの [資格情報] タブ、または受信場所の [WCF-Custom Transport Properties] ダイアログ ボックスの [その他] タブから構成します。 WCF-Custom アダプターは Enterprise Single Sign-On (SSO) をサポートしているため、これらのタブのいずれかにユーザー名とパスワード、または SSO 関連アプリケーションのいずれかを指定できます。 次のトピックでは、両方のオプションについて説明します。

ユーザー名パスワードの資格情報

ユーザー名とパスワードは、[WCF-Custom Transport Properties] ダイアログ ボックスの [資格情報] タブ (送信ポートの場合) または [その他] タブ (受信場所の場合) からのみ指定する必要があります。 これにより、以下が保証されます。

• 資格情報は、ダイアログ ボックスの [Uri ] フィールドには表示されません。 これにより、画面にアクセスできるユーザー (または送信ポートの表示や場所のプロパティの受信を可能にするアクセス許可を持つユーザー) に資格情報が表示されなくなります。

• 送信ポートをエクスポートするか、ポート バインドを受信した場合、パスワードはバインド ファイルに書き込まれません。 これにより、ファイルへのアクセス権を持つユーザーがパスワードを表示できなくなります。

Enterprise Single Sign-On および SSO 関連アプリケーション

SSO を使用して SAP システムの資格情報を取得するように、WCF-Custom アダプターを構成できます。 SSO では、データベースとマスター シークレットを使用して、ユーザー資格情報を暗号化して格納します。 また、バックエンド システムへのアクセスに使用されるセカンダリ資格情報に Microsoft Windows アカウントをマップするサービスも提供します。 SSO を使用すると、Windows アカウントを SAP システムのユーザー名とパスワードにマップできます。

SSO では 、関連アプリケーション と SSO マッピングを 使用して、資格情報をバックエンド システムにマップします。 関連アプリケーションは、SSO の論理エンティティであり、セカンダリ資格情報を必要とするシステムまたはアプリケーションを参照します。 SSO マッピングは関連アプリケーションに関連付けられます。 Windows アカウントを、そのアカウントが関連システムまたはアプリケーションにアクセスするために使用するセカンダリ資格情報にマップされます。 SSO マッピングは、Windows ユーザー アカウントまたはグループに関連付けることができます。

SAP アダプターで SSO を使用するには、次の操作を行う必要があります。

1. SSO で関連アプリケーションを作成し、SAP システムのユーザー名パスワード資格情報を保持します。 この手順は、多くの場合、特別な種類の SSO 管理特権を持つユーザーによって実行されます。

2. Windows アカウントを SAP システムとの接続を確立するために使用されるユーザー名とパスワードにマップする関連アプリケーションのユーザーまたはグループ マッピングを作成します。 インストールによっては、ユーザーがこの手順を実行できる場合や、特別な種類の SSO 管理特権を持つユーザーが必要になる場合があります。

関連アプリケーションと SSO マッピングの作成方法など、SSO の使用方法については、「 SSO の使用」を参照してください。 SSO の詳細については、「 Enterprise シングル サインオンの実装」を参照してください。

AcceptCredentialsInUri バインディング プロパティ

SAP アダプターは AcceptCredentialsInUri バインド プロパティを表示します。 このプロパティは、接続 URI で SAP システム資格情報を許可するかどうかを決定します。 既定では、 AcceptCredentialsInUri は false であり、資格情報が URI に含まれている場合、SAP アダプターは例外をスローします。

このプロパティが表示されるのは、接続 URI に資格情報を存在させる必要がある特定のプログラミング シナリオがあるためです。 これは、送信ポートまたは受信場所を構成する場合、またはアダプター サービス アドインを使用して SAP アダプターからメッセージ スキーマを取得する場合には当たりません。 このような場合は、 AcceptCredentialsInUri を true に設定しないことをお勧めします。 SAP アダプター のバインド プロパティの詳細については、「 BizTalk Adapter for ORacle E-Business Suite のバインド プロパティ」を参照してください。

AcceptCredentialsInUri バインド プロパティは、WCF-Custom または WCF-SAP の受信ポートまたは送信ポートを構成している間、BizTalk Serverの [バインド] タブでは使用できません。 AcceptCredentialsInUri バインド プロパティの値を設定するには、アダプター サービス アドインを使用してメタデータを生成した後に作成されるアダプター バインド ファイル (XML ファイル) を開き、ファイル内でこのバインド プロパティを見つける必要があります。 このバインド プロパティに適切な値を指定し、バインド ファイルを保存して、バインド ファイルを BizTalk Server にインポートします。 手順については、「 SAP アダプター バインドの再利用 」を参照してください。

参照

SAP アダプターをセキュリティで保護するためのベスト プラクティス
SAP アプリケーションをセキュリティで保護する