管理角色的访问控制
用户打开需要访问数据库或 Windows 资源的任何 BizTalk Server 工具时,使用该工具进行交互的用户必须具有相应的 SQL Server 和 Windows 用户权限,才能执行这些工具所支持的各种任务。
BizTalk Server 中的一个或多个工具要访问 BizTalk Server 数据库。 因此,BizTalk Server 必须将每个数据库的某一级别的访问权限授予 BizTalk Server 管理员。 此外,为安全起见,BizTalk Server 管理员不应具有完成工作所需权限之外的用户权限。 BizTalk Server 通过使用 SQL Server 数据库角色就可以满足这两个要求。 无论通过安装还是 BizTalk Server 管理控制台,只要创建 BizTalk Server 数据库,BizTalk Server 就会自动为该数据库中的这两种管理角色创建 SQL Server 数据库角色。 BizTalk Server 会为每个角色以及分配给该角色的任何 SQL Server 登录帐户,授予管理员在该数据库中对 SQL Server 对象(表、视图和存储过程等)执行管理任务时所需的最低用户权限。
注意
还有一些管理任务需要 BizTalk 管理员具有比 SQL Server 角色所授予的权限更多的权限,例如创建主机实例。 有关这些附加权限的详细信息,请参阅 最低安全性用户权限。
在 BizTalk Server 中,有两个管理角色:BizTalk Server管理员和BizTalk Server操作员。 BizTalk Server 管理员是高权限角色,有权访问配置数据和跟踪数据。 BizTalk Server 操作员是低权限角色,仅有权执行监视操作和排除故障操作。 BizTalk Server Operators 组:
是无权访问消息数据的较低权限管理角色。
其成员能够监视 BizTalk Server 是否发生错误,查询挂起的消息\实例以及查看配置。
防止成员更改 BizTalk Server 配置。 例如,BizTalk Server 操作员不能更改发送端口、接收位置、端口的筛选器以及部署新项目。
BizTalk Server会在首次安装产品时创建默认BizTalk Server管理员角色。 默认情况下,BizTalk Server 会将该角色称为 BizTalk Server 管理员,但您可以选择其他名称。
同样,BizTalk Server 会在每个数据库中为每个主机的用户组创建一个 SQL Server 数据库角色,并将用户组执行该主机上的任务所需的最小用户权限授予此角色。 必须将 BizTalk Server 管理员添加到 Single Sign-On Affiliate Administrators 组。 有关企业单一登录的详细信息,请参阅 使用 SSO。
注意
BizTalk 管理员必须确保将在系统中部署的程序集的源是受信任的。 如果管理员部署的程序集包含不受信任的代码,则可能使 BizTalk 环境存在遭受攻击的危险。 在 BizTalk 引擎调用自定义代码组件时,BizTalk Server 不会对这些组件可执行的操作加以任何限制。