管理 BizTalk Server 安全性
维护安全的 Microsoft BizTalk Server环境需要管理帐户、证书和密码。
BizTalk Server组
为帮助确保由 BizTalk Server 处理的业务文档的安全性,BizTalk Server 管理员需要管理以下帐户和证书:
BizTalk Server管理员组:对于通过 BizTalk 管理控制台或使用 Microsoft Windows Management Instrumentation (WMI) 提供程序执行管理任务的用户,必须在 Microsoft SQL Server 和 Microsoft Windows 中向其授予适当的权限。 有关管理任务特权的详细信息,请参阅 最低安全用户权限。
有关将用户添加到BizTalk Server管理员组或从BizTalk Server管理员组中删除用户的信息,请参阅如何管理BizTalk Server管理员组。
有关企业单一登录的详细信息,请参阅 使用 SSO。
BizTalk Server操作员组:BizTalk Server操作员是一个低特权角色,只能访问监视和故障排除操作。
BizTalk Server Operators 组的成员可以执行以下操作:
查看服务状态和消息流。
启动或停止应用程序。
启动或停止业务流程。
启动或停止发送端口和发送端口组。
启用或禁用接收位置。 在默认为 60 秒的下一缓存刷新间隔之前,更改不会生效。 缓存刷新间隔是在 BizTalk Server 组级别进行设置的。
终止和恢复服务实例。
BizTalk Server Operators 组的成员不能执行以下操作:
修改 BizTalk Server 的配置。
查看分类为个人身份信息 (PII) 的消息上下文属性或消息正文。
修改消息路由的过程(例如向正在运行的系统添加新的订阅或从中删除订阅),包括将消息发布到 BizTalk Server 运行时的能力。
注意
如果某个用户既是 BizTalk Server Operators 组的成员,同时也是运行 BizTalk Server 的计算机的本地管理员,则该用户可以在这些计算机上访问 Operators 组中的角色可以访问的数据以外的数据。 有关详细信息,请参阅 最低安全用户权限。
如果要使作为 BizTalk Server Operators 组的成员的用户能够监控远程 BizTalk 服务器,则该用户必须同时是该远程计算机上本地 Administrators 组的成员。
BizTalk Server只读用户组:这是从 BizTalk Server 2020 开始的新组。 此组中的成员可以查看项目、服务状态、消息流和跟踪信息。 成员没有执行任何管理操作的权限。
BizTalk Server只读用户组的成员可以执行以下操作:
查看用户项目信息
查看平台项目,例如接收端口、接收位置、发送端口、业务流程、映射、策略、管道、主机、主机实例和适配器
查看消息流和消息事件。 无法查看消息上下文和消息内容。
查看常规服务实例详细信息和错误信息。
查看跟踪信息。
查看参与方和协议信息。
查看组中心页、执行查询、保存查询和加载查询。
可以导出绑定、策略和 MSI,但无法导入。
注意
如果BizTalk Server只读用户组的成员也是运行 BizTalk Server 的计算机上的本地管理员,则此用户可以访问这些计算机上操作员组角色之外的数据。 有关详细信息,请参阅 最低安全用户权限。
主机和服务帐户:创建主机及其关联的主机实例时,必须提供主机的 Windows 组以及每个主机实例的服务帐户凭据。 必须确保主机实例服务帐户是该主机的 Windows 组的成员。
签名证书:为 BizTalk 组指定签名证书 (私钥证书) 。 它们是可选的,并且可以随时由 BizTalk Server 管理员进行更改。
有关BizTalk Server使用的 Windows 帐户的更完整信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。