Sicherheitsempfehlungen für die Geschäftsregel-Engine
Die Geschäftsregel-Engine ist die Laufzeitkomponente des Geschäftsregel-Frameworks. Mit dem Geschäftsregel-Framework können Sie gut lesbare, deklarative, semantisch reichhaltige Regeln mit beliebigen Geschäftsobjekten (.NET-Komponenten), XML-Dokumenten oder Datenbanktabellen verbinden. Weitere Informationen zum Business Rule Framework finden Sie unter Erstellen und Verwenden von Geschäftsregeln. Weitere Informationen zur Geschäftsregel-Engine finden Sie unter Regel-Engine.
Für die Geschäftsregel-Engine gibt es keine Windows-Benutzergruppen, sondern nur individuelle Konten. In BizTalk Server wird der Zugriff auf Ressourcen der Geschäftsregel-Engine durch die Verwendung von zwei SQL Server-Rollen beschränkt.
Die SQL Server-Rolle RE_Admin_Users steht Benutzern zur Verfügung, die Verwaltungsaufgaben, wie z. B. die Bereitstellung von Regeln, ausführen müssen. BizTalk-Administratoren sind zugleich Mitglieder der SQL Server-Rolle RE_Admin_Users.
Die Gruppe RE_Host_Users steht allen anderen Benutzern der Geschäftsregel-Engine zur Verfügung, deren Aufgaben beispielsweise das Lesen und Ausführen von Regeln umfassen und die keine Administratorrechte benötigen. Mitglieder der Rolle BizTalk_Host_Users sind zugleich Mitglieder der Rolle RE_Host_Users. Mithilfe der SQL Server-Rollen können Berechtigungen für die Geschäftsregel-Engine unabhängig von BizTalk Server-Berechtigungen implementiert werden. Weitere Informationen zur Mindestberechtigung, die für die Verwendung der Geschäftsregel-Engine erforderlich ist, finden Sie unter Benutzerberechtigungen für mindeste Sicherheit. Die folgenden Empfehlungen gelten für das Sichern und Bereitstellen der Geschäftsregel-Engine in Ihrer Umgebung.
BizTalk Server gibt dem Konto, das zur Installation des Aktualisierungsdiensts verwendet wurde, die Berechtigung zum Anmelden als Dienst und fügt es zur SQL Server-Rolle RE_Host_Users in der Datenbank der Geschäftsregel-Engine hinzu. Wenn das Konto, das Sie zur Installation verwenden, nicht das ist, von dem der Aktualisierungsdienst ausgeführt wird, müssen Sie das Installationskonto aus der SQL Server-Rolle RE_Host_Users löschen.
Wenn Sie nicht dasselbe Konto wie ein anderes BizTalk-Hostdienstkonto verwenden, fügen Sie auch das RuleEngine-Dienstkonto zu BTS_HOST_USERS in BizTalkMgmtDb und BizTalkMsgBoxDb hinzu.
Wenn Sie die Aktualisierungsdienstkomponente verwenden, müssen Sie diese auf allen BizTalk-Laufzeitcomputern installieren. Um eine Regel aus der Regel-Engine-Datenbank abzurufen, nimmt der Aktualisierungsdienst die Identität des Dienstaufrufers an.
Standardmäßig haben alle BizTalk-Hosts dieselben Zugriffsrechte auf Elemente der Regel-Engine. Die Sicherheitsfunktionen werden nicht auf Hostebene eingestellt. Sie können die Sicherheitsfunktionen auf Richtlinienebene konfigurieren, indem Sie die API der Regel-Engine verwenden. Weitere Informationen zum Konfigurieren der Sicherheit pro Richtlinie finden Sie unter Business Rules Framework Security.