Compartir a través de


Consideraciones de seguridad para el seguimiento de datos de instancias y mensajes

Por motivos de seguridad, el seguimiento de instancias de mensajes y servicios no usa exploradores ni direcciones URL como en versiones anteriores de BizTalk Server. Esta opción de seguimiento se incluye como parte de la página de información general del grupo en la consola de administración de BizTalk Server. Por motivos de seguridad, BizTalk Server sigue hospedando Microsoft Internet Explorer dentro de un shell por motivos de seguridad.

Mediante el seguimiento de los datos de la instancia de servicio y del mensaje, puede acceder a los detalles técnicos necesarios para solucionar problemas y optimizar el entorno de BizTalk Server. Puesto que este seguimiento de datos es avanzado, debe limitar el acceso a él en el entorno de producción para que usuarios no autorizados o malintencionados no causen ningún daño. Se recomienda seguir estas directrices para proteger y usar la consola de administración de BizTalk Server en el entorno.

  • Debe haber iniciado sesión como miembro del grupo Operadores de BizTalk Server para ver los datos mediante la Consola de administración de BizTalk Server. Para acceder a los cuerpos del mensaje en la sección Información general del grupo de la consola de administración de BizTalk Server, debe iniciar sesión como miembro del grupo administradores de BizTalk Server.

    Cuando se usan el seguimiento de mensajes e instancias de servicio, puede tener acceso a las siguientes bases de datos:

    Base de datos Grupo de usuarios y permisos
    Administración de BizTalk (BizTalkMgmtDb) Administradores de BizTalk Server, operadores de BizTalk Server
    Cuadro de mensajes de BizTalk (BizTalkMsgBoxDb) Administradores de BizTalk Server, operadores de BizTalk Server o permisos de lectura y escritura
    Seguimiento de BizTalk (BizTalkDTADb) Administradores de BizTalk Server, operadores de BizTalk Server o permisos de sólo lectura
  • El seguimiento de instancias de mensajes y servicios genera informes sobre todos los hosts del entorno de BizTalk Server en función de los parámetros de una consulta. Para minimizar el potencial de divulgación de información, solo los miembros del grupo administradores de BizTalk Server pueden usar la consola de administración de BizTalk Server para ejecutar estas actividades. Sin embargo, si no desea que todos los administradores de BizTalk Server tengan acceso a los datos que produce este proceso de seguimiento, puede limitar su acceso a los datos agregando o quitando usuarios de los roles de HM_EVENT_WRITER y BAM_EVENT_WRITER SQL Server en la base de datos de seguimiento de BizTalk (BizTalkDTADb).

  • BizTalk utiliza las funciones de SQL Server BAM_EVENT_WRITER y HM_EVENT_WRITER para conceder o denegar permisos a sus miembros para leer y escribir datos de seguimiento en la base de datos de seguimiento, pero no mediante la pertenencia a una función. No quite estas funciones de SQL Server. Cuando se cambia un host para que aloje o no aloje datos de seguimiento, se llama al procedimiento almacenado adm_ChangeHostTrackingPrivilege. Este procedimiento almacenado lee la definición de las funciones de SQL Server BAM_EVENT_WRITER y HM_EVENT_WRITER y aplica las correspondientes instrucciones GRANT/DENY al grupo de Windows de host. Esto tiene el mismo efecto que agregar el grupo de Windows de host a estas funciones de SQL.

  • Cuando se configuran las preferencias de la consola de administración de BizTalk Server para ver los datos de una base de datos archivada, las consultas de seguimiento se conectan a las bases de datos que contienen los datos archivados, y no a la base de datos de seguimiento de BizTalk (BizTalkDTADb) actualmente activa.

  • No se pueden depurar orquestaciones activas a través de servidores de seguridad NAT (Traducción de direcciones de red). Debe tener un equipo de administración en el dominio de procesamiento con el fin de depurar orquestaciones activas.

  • En función de cómo configure el seguimiento y las canalizaciones, BizTalk Server puede almacenar información confidencial contenida en el contexto del mensaje. Si usa WMI o seguimiento para guardar cuerpos de mensaje en una ubicación de archivo, asegúrese de que la ubicación tenga una lista de control de acceso discrecional (DACL) segura para que solo BizTalk Server los administradores tengan permisos de lectura para estos cuerpos de mensaje. Aplique la misma lista DACL a cualquier ubicación que guarde cuerpos de mensaje, incluidas las bases de datos que no sean de BizTalk, donde pueda archivarlos y restaurarlos.

  • Debe conceder permisos manualmente al grupo de administradores de BizTalk Server para obtener acceso a la base de datos del servidor de análisis de seguimiento (BizTalkAnalysisDb); de forma predeterminada, sólo los administradores de OLAP tienen permisos para esta base de datos.

Consulte también

Planeación del seguimiento de instancias y mensajes
Visualización de datos de instancias y mensajes de seguimiento