Instructions pour l'implémentation des autorisations Active Directory sur des installations BizTalk multiserveur
Cette rubrique décrit les instructions relatives à la création d’unités d’organisation Active Directory, qui se composent des comptes d’utilisateur et des groupes que vous utilisez dans une installation de Microsoft BizTalk Server.
Les comptes créés ici ne nécessitent pas d'autorisations autres que celles dont disposent déjà les utilisateurs ordinaires. Des privilèges élevés peuvent être requis pour les comptes de domaine dans la limite de confiance qui inclut :
BizTalk Server
Microsoft SharePoint Services (sur le serveur BizTalk Server)
Microsoft SQL Server
Base de données externe 1
Base de données externe 2
Base de données externe N
Par exemple, un compte de domaine peut requérir des autorisations pour réaliser certaines actions sur les systèmes hébergeant les bases de données externes. Dans d'autres cas, il peut être nécessaire d'accorder un accès en écriture à un compte pour qu'il puisse écrire dans le fichier d'un dossier de dépôt.
Utilisez la console Utilisateurs et ordinateurs Active Directory pour créer et gérer des comptes d’utilisateur et de groupe de domaine. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d’administration, puis sur Utilisateurs et ordinateurs Active Directory pour démarrer la console Utilisateurs et ordinateurs Active Directory.
Installation de BizTalk Server et compte de configuration
Dans l’environnement de développement, le programme d’installation BizTalk Server et l’Assistant Configuration BizTalk Server nécessitent l’utilisation d’un compte disposant de droits d’administration sur les systèmes BizTalk Server et SQL Server. Il est possible de révoquer ces droits ou de désactiver le compte une fois l'installation et la configuration terminées. Le compte doit également appartenir à plusieurs groupes BizTalk présentés dans les sections ci-après.
Notes
Vous ne pourrez pas configurer les composants SSO si le compte utilisé pour l'installation appartient à une forêt Active Directory différente du serveur. Si vous n’avez pas de compte de programme d’installation BizTalk Server, utilisez un compte d’administrateur local pour la configuration de l’authentification unique. Cette méthode peut impliquer certaines difficultés lors de l'installation, comme le besoin de fournir des informations d'identification différentes pour la connexion aux ressources.
Comptes de développement BizTalk Server
Les personnes effectuant BizTalk Server développement ont besoin d’accéder aux adaptateurs, aux gestionnaires de réception et d’envoi et aux emplacements de réception. Cet accès nécessite que le groupe de développeurs de domaine soit membre des groupes Administrateurs BizTalk Server et Administrateurs affiliés à l’authentification unique.
Notes
Active Directory comporte certaines limitations concernant les types de groupes pouvant contenir des utilisateurs de domaines étrangers et ceux pouvant être contenus dans d'autres groupes. Les groupes et comptes créés ci-dessous sont testés dans un environnement multiserveur sur un domaine unique.
Comptes de déploiement BizTalk Server
Les personnes qui déploient BizTalk Server applications devront être administrateurs sur les systèmes locaux et peuvent nécessiter d’autres autorisations dans l’environnement. Un compte de déploiement BizTalk Server est présenté dans cette rubrique à cette fin.
Cet accès nécessite que le groupe de déploiement de domaine soit membre des groupes Administrateurs BizTalk Server et Administrateurs affiliés de l’authentification unique.
Notes
Vous ne pourrez pas configurer les composants SSO si le compte utilisé pour l'installation appartient à une forêt Active Directory différente du serveur. Si vous ne disposez pas d'un compte de déploiement BizTalk Server, utilisez un compte d'administrateur local pour la configuration de SSO. Cette méthode peut impliquer certaines difficultés lors de l'installation, comme le besoin de fournir des informations d'identification différentes pour la connexion aux ressources.
Comptes de support BizTalk Server
Les personnes qui soutiennent BizTalk Server applications devront être administrateurs sur les systèmes locaux. Un compte de support BizTalk sera présenté dans cette rubrique.
Cet accès nécessite que le groupe de support du domaine soit membre du groupe administrateurs BizTalk Server.
Comptes de service SQL Server
Le service exécutant le SQL Server instance doit appartenir au même domaine Active Directory que les comptes qui installent, développent et déploient BizTalk Server composants.
Utilisez SQLAdmin pour les fonctions d’administration (ouverture de session interactive).
Utilisez SQLService pour gérer le service (aucune connexion interactive).
Utilisez SQLAccess pour accéder aux bases de données externes.
SQLAdmin doit être membre du groupe Administrateurs local sur le système SQL Server.
SQLService doit être membre du groupe Administrateurs local sur le système SQL Server et doit disposer du droit d’utilisateur Se connecter en tant que service.
SQLAccess requiert les droits appropriés sur les serveurs de bases de données distants.
Comptes SQL :
Nom d'utilisateur | Prénom | Last Name | Nom complet |
---|---|---|---|
SQLService | SQL | SQLService | Compte de service SQL |
SQLAdmin | Admin | SQLService | Compte administrateur SQL |
SQLAccess | Access | SQLService | Compte d'accès SQL |
Définissez les mots de passe de compte en fonction des exigences de l'entreprise.
Important
Sur l’ordinateur exécutant SQL Server, modifiez les paramètres de démarrage des services SQL Server et SQLServerAgent afin d’utiliser le compte et les informations d’identification SQLService.
Notes
Les données entrées dans les champs Nom d'utilisateur sont des exemples. Vous pouvez les modifier afin d'éviter tout conflit avec d'autres comptes Active Directory.
Compte des services Windows SharePoint Services
Les comptes Windows SharePoint Services doivent être créés avant l’installation de SharePoint Services.
Recommandations et notes sur le compte SharePoint Services :
Utilisez le compte de Administration SharePoint (SPAdmin) pour les fonctions d’administration, le service de minuteur SharePoint et tous les accès SharePoint Services.
SPAdmin est le propriétaire du site et un alias de messagerie est requis.
SPAdmin doit être membre du groupe Administrateurs locaux sur l’ordinateur BizTalk Server local (Windows SharePoint Services programme d’installation le fait).
SPAdmin doit avoir les rôles d’administrateur de la sécurité et de créateur de base de données sur l’ordinateur SQL Server (Windows SharePoint Services installation effectue cette opération).
Comptes Sharepoint :
Nom d'utilisateur | Prénom | Last Name | Nom complet |
---|---|---|---|
SPAdmin | Admin | SPService | Compte d'administrateur Sharepoint |
Définissez les mots de passe des comptes en fonction des exigences de l'entreprise et soyez prêt à récupérer ces mots de passe lors des étapes de configuration. Reportez-vous à la section Mots de passe de cette rubrique pour connaître les problèmes liés aux mots de passe générés.
Notes
Les informations entrées dans le champ Nom d'utilisateur sont données à titre d'exemple. Vous pouvez les modifier afin de protéger d'autres comptes Active Directory.
Important
Après avoir installé Windows SharePoint Services sur l’ordinateur exécutant BizTalk Server, vérifiez que les paramètres de démarrage du service de minuteur SharePoint utilisent le compte spAdmin et les informations d’identification.
Utilisateurs et groupes BizTalk
BizTalk Server groupes et utilisateurs doivent être créés avant d’exécuter l’Assistant Configuration BizTalk Server. Dans une installation à système unique, BizTalk Server utilise des groupes et des comptes locaux qui sont créés pendant la configuration. Toutefois, si des hôtes BizTalk Server distincts sont déployés ou si BizTalk Server et SQL Server sont installés sur deux ordinateurs différents, vous devez utiliser des comptes d’utilisateur et de groupe de domaine.
Notes
L’Assistant Configuration BizTalk Server ne peut pas créer de comptes de domaine.
Recommandations et notes sur les comptes de service et d’utilisateur BizTalk Server :
Créez une unité d’organisation pour BizTalk Server. Tous les comptes et groupes appartiendront à cette unité.
Soyez précis et attribuez des noms complets. Les noms figurant dans les listes ci-après doivent être suffisamment clairs pour permettre au programme d'installation de sélectionner les groupes/comptes/utilisateurs appropriés lors de la configuration.
Les prénom et nom sont facultatifs et ne sont inclus que pour des raisons de cohérence.
Le différateur BTService et BTUser fait référence aux comptes de service (automates) et aux utilisateurs humains génériques/partagés.
Créez des comptes de domaine et renseignez-les par le biais d'un script ADSI réservé à la création de comptes de groupes et d'utilisateurs dans les environnements parents.
Comptes de service BizTalk
Nom d'utilisateur | Prénom | Last Name | Nom complet |
---|---|---|---|
BTService | BTS | BTService | Compte de service BizTalk |
BTServiceHost | Host | BTService | Compte de l'instance de l'hôte BizTalk |
BTServiceHostIso | HostIso | BTService | Compte de l'instance de l'hôte BizTalk isolé |
SSOService | SSO | BTService | Service d'authentification unique de l'entreprise |
BTServiceREU | REU | BTService | Service de mise à jour du moteur des règles |
Définissez les noms d'utilisateur en fonction des exigences de l'entreprise et de l'environnement (par exemple, devBTService, alphaBTService). Définissez les mots de passe de compte conformément aux normes de l’entreprise et pouvez les récupérer pour les étapes de configuration. Reportez-vous à la section Considérations relatives aux mots de passe pour le développement de cette rubrique pour connaître les problèmes liés aux mots de passe générés.
Le programme d’installation remarquera que les comptes de service sont assez granulaires, avec un mappage quasi-un-à-un aux services créés par BizTalk Server. La granularité permet à la sécurité informatique de l'entreprise d'effectuer un suivi des accès et de les restreindre en fonction des besoins. Bien que recommandée, la décision de l'utiliser dans l'environnement de l'entreprise revient entièrement au personnel chargé de la sécurité et au concepteur de systèmes.
Les comptes de service du groupe précédent sont destinés aux accès de l'automate uniquement, pas aux ouvertures de session interactives réservées aux utilisateurs.
Pour définir les options de compte appropriées
Dans la console Utilisateurs et ordinateurs Active Directory, cliquez pour développer le domaine, puis cliquez sur pour développer le conteneur Utilisateurs.
Cliquez avec le bouton droit sur le compte, puis sélectionnez Propriétés pour afficher la boîte de dialogue Propriétés du compte.
Cliquez sur l’onglet Compte de la boîte de dialogue Propriétés .
Cliquez sur les options suivantes pour les activer :
L’utilisateur ne peut pas modifier le mot de passe (la sécurité de l’entreprise modifie par lot les mots de passe).
Le mot de passe n'expire jamais
Cliquez sur le bouton Ouvrir une session pour afficher la boîte de dialogue Stations de travail d’ouverture de session.
Cliquez sur l’option Les ordinateurs suivants, ajoutez chaque ordinateur exécutant BizTalk Server et SQL Server, puis cliquez sur OK.
Cliquez sur l’onglet Contrôle à distance de la boîte de dialogue Propriétés , puis cliquez pour désactiver l’option Activer le contrôle à distance.
Cliquez sur l’onglet Profil des services Terminal dans la boîte de dialogue Propriétés .
Cliquez pour case activée l’option Refuser les autorisations de cet utilisateur pour se connecter à n’importe quel serveur Terminal Server.
Cliquez sur OK pour fermer la boîte de dialogue Propriétés du compte.
Reprenez les étapes 3 à 10 pour chaque compte de service.
Comptes d'utilisateur BizTalk
Nom d'utilisateur | Prénom | Last Name | Nom complet |
---|---|---|---|
BTUserAdmin | Admin | BTUser | Compte d'utilisateur administratif BizTalk |
BTUserDeploy | Déployer | BTUser | Compte d'utilisateur de déploiement BizTalk |
BTUserHostInstance | HostInstance | BTUser | Compte de l'instance de l'hôte BizTalk |
BTUserHostIsolated | IsolatedlHost | BTUser | Compte de l'instance de l'hôte BizTalk isolé |
BTUserInstall | Installer | BTUser | Compte d'utilisateur d'installation BizTalk |
BTUserSupport | Support | BTUser | Compte d'accès de support BizTalk |
Pour définir les options de compte appropriées, procédez comme suit
Dans la console Utilisateurs et ordinateurs Active Directory cliquez pour développer le domaine, puis cliquez sur pour développer le conteneur Utilisateurs.
Cliquez avec le bouton droit sur le compte, puis sélectionnez Propriétés pour afficher la boîte de dialogue Propriétés du compte.
Cliquez sur l’onglet Compte de la boîte de dialogue Propriétés .
Cliquez sur les options suivantes pour les activer :
L’utilisateur ne peut pas modifier le mot de passe (la sécurité de l’entreprise modifie par lot les mots de passe).
Le mot de passe n'expire jamais
Cliquez sur le bouton Ouvrir une session pour afficher la boîte de dialogue Stations de travail d’ouverture de session.
Cliquez sur l’option Les ordinateurs suivants, ajoutez chaque ordinateur exécutant BizTalk Server et SQL Server, puis cliquez sur OK.
Cliquez sur l’onglet Contrôle à distance de la boîte de dialogue Propriétés, puis cliquez sur pour case activée l’option Activer le contrôle à distance.
Cliquez sur l’onglet Profil des services Terminal dans la boîte de dialogue Propriétés .
Cliquez pour effacer l’option Refuser les autorisations de cet utilisateur pour se connecter à n’importe quel serveur Terminal Server.
Cliquez sur OK pour fermer la boîte de dialogue Propriétés du compte.
Reprenez les étapes 3 à 10 pour chaque compte d'utilisateur.
Notes
Vous pouvez désactiver n'importe lequel de ces comptes si les rôles auxquels ils sont associés sont attribués à des utilisateurs réels. Dans les premières phases des versions 1 et 2, ces comptes sont utilisés dans les environnements de développement, de tests alpha et bêta.
Comptes de groupe BizTalk
Nom du groupe | Type de groupe | Members (Membres) |
---|---|---|
Utilisateurs d'applications BizTalk | Global ou universel | - BTServiceHost - BTUserHostInstance |
Utilisateurs de développement BizTalk | Global ou universel | (comptes de domaine locaux des utilisateurs de développement) Note: Il est recommandé de ne pas activer le groupe Utilisateurs de développement BizTalk dans les environnements up-line. |
Utilisateurs du déploiement BizTalk | Global ou universel | (comptes locaux et de domaine des utilisateurs du déploiement) |
Utilisateurs hôtes BizTalk | Global ou universel | BTUserHostInstance |
Utilisateurs d'hôtes BizTalk isolés | Global ou universel | - BTServiceHostIso - BTUserHostInstance |
Administrateurs BizTalk Server | Global ou universel | - BTUserAdmin - BTUserInstall - Utilisateurs de développement BizTalk - Utilisateurs du déploiement BizTalk |
Utilisateurs de support BizTalk | Global ou universel | BTUserSupport (comptes locaux et de domaine d'utilisateurs du support) |
Administrateurs SSO | Global ou universel | - SSOService - BTUserInstall - Administrateur local |
Administrateurs d'applications associées SSO | Global ou universel | - Utilisateurs de développement BizTalk - Utilisateurs du déploiement BizTalk - BTServiceHostIso - <utilisateur de console> |
Administrateurs de Windows SharePoint Services | Global ou universel | - SPAdmin - BTUserInstall - BTUserDeploy - Utilisateurs de développement BizTalk - Utilisateurs du déploiement BizTalk |
Recommandations et remarques sur les groupes de domaine :
Créez les groupes et ajoutez des membres avant d’installer BizTalk Server.
Les groupes de domaine peuvent être des groupes globaux ou universels.
Utilisez <DomainName>\<UserName> lors de la spécification des informations de compte de domaine dans l’Assistant Configuration.
Les groupes et les comptes d’utilisateur/service doivent appartenir au domaine auquel appartient l’ordinateur BizTalk Server (l’Assistant Configuration vérifie cela et n’affiche pas les comptes ou groupes contenant des comptes d’autres domaines).
BizTalk Server nécessite des comptes de domaine pour tous les scénarios de mise en cluster.
Lors de l’installation de BizTalk Server, l’utilisateur de la console doit être membre des groupes suivants :
Administrateurs BizTalk Server
Administrateurs de l'authentification unique (pour la configuration du serveur de secret principal exclusivement)
Administrateur Windows
administrateur SQL Server
Administrateur OLAP
Le compte BTUserInstall doit être utilisé pour l'installation et la configuration, et doit être désactivé une fois la configuration terminée.
Pour autoriser le suivi des événements et des instance de service de message à attacher des orchestrations au débogueur, le développeur doit appartenir au groupe Administrateurs BizTalk Server, comme indiqué ci-dessus dans la section Comptes de développement BizTalk.
Comptes des administrateurs locaux
Confirmez ou ajoutez les comptes et groupes suivants au groupe Administrateurs locaux sur l’ordinateur SQL Server :
Domaine\BTUserInstall (désactivé à la fin de la configuration)
Domaine\BTUserDeploy (désactivé dans l'environnement de production à la fin du déploiement)
Domaine\SPAdmin
Domaine\SQLAdmin
Domaine\SQLService
Domaine\Utilisateurs de développement BizTalk (omis dans les environnements up line)
Domaine\Utilisateurs de déploiement BizTalk (à omettre dans les environnements de développement)
Confirmez ou ajoutez les comptes et groupes suivants au groupe Administrateurs locaux sur l’ordinateur BizTalk Server :
Domaine\BTUserInstall (désactivé à la fin de la configuration)
Domaine\BTUserDeploy (désactivé dans l'environnement de production à la fin du déploiement)
Domaine\BTUserSupport
Domaine\SPAdmin
Domaine\Utilisateurs de développement BizTalk (à omettre dans les environnements parents)
Domaine\Utilisateurs de déploiement BizTalk (à omettre dans les environnements de développement)
Comptes des administrateurs de SQL Server
Il est possible d'effectuer des saisies dans les programmes d'installation et ces derniers peuvent attribuer des rôles SQL aux utilisateurs et aux groupes :
- Pendant SharePoint Services configuration, le compte SPAdmin dispose des droits Administrateur de la sécurité et Créateur de base de données sur l’ordinateur SQL Server. Ces droits peuvent être supprimés si le compte SPAdmin est membre du groupe Administrateurs locaux.
Compte de messagerie
SharePoint Services envoyez des messages en fonction de certains événements système. Le programme d'installation vous invite à entrer une adresse de messagerie lors de la configuration. Créez à cette fin des alias de messagerie et surveillez-les lors de l'installation et du test unitaire. Dans l'environnement de production, l'administrateur système en charge de la surveillance du système doit être en mesure d'accéder à ce compte.
Le compte de messagerie utilisé par SharePoint Services est le compte de messagerie administrateur WSS.
Observations sur les mots de passe dans l'environnement de développement
Dans les environnements de développement et de test, il est possible de définir les mots de passe des comptes en fonction de standards communs et de les distribuer. Les standards utilisés par le programme d'installation varient. Cette rubrique présente le modèle suivant : initiales en majuscules désignant le composant de service, suivies du reste du compte abrégé en minuscules (service ou utilisateur). Pour les comptes de service, cette rubrique utilise 'Serv', et pour les comptes d'utilisateur, elle utilise 'User'.
Par exemple :
Windows SharePoint Services (SharePoint) Mots de passe de compte de service et d’administrateur (SPAdmin) : « SPServ ».
Mots de passe de compte de service BizTalk : « BTServ ».
Mots de passe de compte d’utilisateur BizTalk : « BTUser ».
Dans certains environnements informatiques, les mots de passe doivent contenir des caractères non alpha et/ou numériques. Dans ce cas, vous pourriez substituer le signe $ à « s », et l'arobas (@) à « a ». Les symboles donnés sont des exemples. Trouvez le modèle qui correspond le mieux à vos besoins en matière de comptes partagés avec des mots de passe semi-publics.
Voici des exemples de mot de passe qu'il est possible de distribuer dans l'environnement de développement :
Comptes de service BizTalk BT$erv99
BTU$er99 Comptes d’utilisateur BizTalk
SP$erv99 Compte de service WSS (SPAdmin)
SQL$erv99 SQL Service/Access/Administration Account
Notes
Ces recommandations concernent uniquement les environnements de développement et partagés. Elles n'empêchent ni ne conseillent tout particulièrement l'emploi de stratégies de mots de passe d'entreprise. Contactez votre administrateur réseau pour plus d'informations sur les exigences en matière de mots de passe.
Notes
Si la stratégie de mots de passe de votre entreprise inclut des mots de passe générés, gardez à l'esprit que certains symboles et combinaisons de symboles constituent des caractères spéciaux pour XML. Une utilisation inappropriée de ces caractères peut empêcher l'ouverture des fichiers XML de configuration lors du processus de configuration. Ces symboles incluent « & », «< », « », « », un> guillemet simple et double, et peuvent inclure d’autres symboles. Testez le fichier XML de configuration avant d'exécuter la configuration basée sur ces fichiers. Pour ce faire, ouvrez le document, avec les mots de passe générés, dans Internet Explorer (ou un éditeur XML).
Pour plus d’informations sur le déploiement de mots de passe sécurisés dans des environnements up-line (y compris la méthode de test d’un fichier de configuration BizTalk Server), consultez Configurer BizTalk Server.