商務規則引擎安全性建議
商務規則引擎是商務規則架構的執行階段元件。 您可以使用商務規則架構,將易讀、宣告式且語意豐富的規則連接到任何商務物件 (.NET 元件)、XML文件或資料庫資料表。 如需商務規則架構的詳細資訊,請參閱 建立和使用商務規則。 如需商務規則引擎的詳細資訊,請參閱 規則引擎。
商務規則引擎沒有 Windows 使用者群組,只有個別的帳戶。 BizTalk Server 使用兩個 SQL Sever 角色來限制對商務規則引擎資源的存取:
RE_Admin_Users SQL Server 角色適用於需要在商務規則引擎中執行系統管理工作 (例如部署規則) 的使用者。 RE_Admin_Users SQL Server 角色的成員包括 BizTalk 系統管理員。
RE_Host_Users 群組適用於不需要系統管理使用者權限,而只需執行讀取及執行規則等工作的其他所有商務規則引擎使用者。 RE_Host_Users 角色的成員包括 BizTalk_Host_Users 角色。 您可以使用 SQL Server 角色,實作商務規則引擎的權限,而不受 BizTalk Server 權限的影響。 如需使用商務規則引擎所需最低許可權的詳細資訊,請參閱 最低安全性使用者權限。 建議您依照下列指導方針來保護和部署您作業環境中的商務規則引擎執行階段。
BizTalk Server 提供帳戶供您用來將更新服務登入安裝成服務權限,而且會將該帳戶新增到商務規則引擎資料庫上的 RE_Host_Users SQL Server 角色中。 如果您用來安裝的帳戶與要用來執行更新服務的帳戶不同,您必須從 RE_Host_Users SQL Server 角色中移除安裝帳戶。
如果您未使用與另一個 BizTalk 主機服務帳戶相同的帳戶,也請將 RuleEngine 服務帳戶新增至 BizTalkMgmtDb 和 BizTalkMsgBoxDb 中的BTS_HOST_USERS。
如果要使用更新服務元件,您必須將它安裝在所有 BizTalk 執行階段元件上。 為了從規則引擎資料庫擷取規則,更新服務會模擬服務的呼叫者。
根據預設,所有的 BizTalk 主控件對規則引擎成品都擁有的相同的存取層次。 個別主控件並沒有獨立的安全性。 您可以使用規則引擎 API 設定個別原則的安全性。 如需如何設定每個原則安全性的詳細資訊,請參閱 商務規則架構安全性。