Bewährte Methoden für das Absichern von Adaptern
In diesem Thema finden Sie eine Liste der bewährten Methoden für die Adaptersicherheit.
Installieren Sie auf Ihrem Computer ausschließlich vertrauenswürdige Adapter von zertifizierten Adapterentwicklungspartnern.
Speichern Sie keine vertraulichen Kundendaten im Standardadapterschema.
Sie sollten Benutzernamen und Kennwörter erst nach der Bereitstellung eines Adapters konfigurieren. Dadurch wird sichergestellt, dass die Informationen in der Datenbank für Einmaliges Anmelden (SSO-Datenbank) gespeichert werden. Weitere Informationen zur SSO-Datenbank finden Sie unter Verwenden des einmaligen Anmeldens.
Erteilen Sie die folgenden Berechtigungen für die freigegebenen Ordner (den Empfangsordner und den Sendeordner), die zum Übernehmen und Ablegen von Dateien mithilfe der Datei- und EDI-Adapter verwendet werden:
Empfangsordner
Der Empfangsordner für den Dateiadapter kann am Empfangsspeicherort konfiguriert werden. Der Empfangsordner für den EDI-Adapter kann im Empfangshandler konfiguriert werden. Das Dienstkonto des BizTalk-Hosts, der die Datei übernimmt, muss auf Dateisystemebene über die folgenden Berechtigungen verfügen:
Ordner auflisten/Daten lesen
Unterordner und Dateien löschen
Wenn sich der Empfangsordner in einer Netzwerkfreigabe befindet, müssen auf Dateifreigabeebene die folgenden Berechtigungen erteilt werden:
Das Dienstkonto des BizTalk-Hosts, der die Datei übernimmt, benötigt Vollzugriffsberechtigungen.
BizTalk Server Administratoren müssen über Vollzugriffsberechtigungen für die Problembehandlung verfügen.
Externe Benutzer oder Programme, die Dateien an diesem Speicherort ablegen, benötigen Schreibberechtigungen.
Sendeordner
Der Sendeordner für die Datei- und EDI-Adapter kann am Sendeport konfiguriert werden.
Das Dienstkonto der BizTalk-Hosts, die hier Dateien ablegen, benötigt Schreibberechtigungen.
BizTalk Server Administratoren müssen über Vollzugriffsberechtigungen verfügen.
Externe Benutzer oder Programme, die Dateien übernehmen, benötigen Leseberechtigungen.
Fügen Sie das Benutzerkonto, unter dem der EDI-Dienst ausgeführt wird, der Rolle BTS_HOST_USERS SQL hinzu.
Dies ist erforderlich, damit Sie ohne Administratorberechtigungen Zugriff auf die BizTalk-Explorer-Objektverwaltung erhalten. Fügen Sie hierzu EDI-Subsystembenutzer der Rolle BTS_HOST_USERS in der BizTalk-Verwaltungsdatenbank (BizTalkMgmtDb) hinzu.
Führen Sie zum Hinzufügen von EDI-Subsystembenutzer zur Rolle BTS_HOST_USERS in SQL Server 2005 die folgenden Schritte aus:
Starten Sie SQL Server Management Studio von Start, Programme, Microsoft SQL Server 2008.
Verbinden Sie sich mit dem Computer mit SQL Server, der als Host der BizTalk-Verwaltungsdatenbank dient.
Erweitern Sie diesen Server im Objekt-Explorer.
Erweitern Sie Datenbanken, und erweitern Sie dann die BizTalk-Verwaltungsdatenbank.
Erweitern Sie Sicherheit, erweitern Sie Rollen, und klicken Sie dann, um Datenbankrollen auszuwählen.
Klicken Sie im Detailbereich mit der rechten Maustaste auf die Rolle BTS_HOST_USERS, und klicken Sie dann auf Eigenschaften.
Klicken Sie im Dialogfeld BTS_HOST_USERS auf Hinzufügen, klicken Sie auf Durchsuchen, und aktivieren Sie dann das Kontrollkästchen neben der Gruppe EDI-Subsystembenutzer, um es hinzuzufügen.
Wenn die Gruppe EDI-Subsystembenutzer nicht in der Liste der hinzuzufügenden Benutzer enthalten ist, müssen Sie die Gruppe EDI-Subsystembenutzer der BizTalk-Verwaltungsdatenbank als neue Datenbank hinzufügen. Um die Gruppe EDI-Subsystembenutzer als neuen Datenbankbenutzer hinzuzufügen, führen Sie in SQL Server Management Studio die folgenden Schritte aus:
Erweitern Sie die BizTalk-Verwaltungsdatenbank.
Erweitern Sie Sicherheit.
Klicken Sie mit der rechten Maustaste auf Benutzer , und klicken Sie auf Neuer Benutzer.
Klicken Sie auf die Schaltfläche mit den Auslassungspunkten (...) neben dem Textfeld für Anmeldename , um das Dialogfeld Anmeldung auswählen anzuzeigen.
Klicken Sie auf die Schaltfläche Durchsuchen, geben Sie die Gruppe EDI-Subsystembenutzer ein, und klicken Sie dann auf OK. Wenn Sie zum Dialogfeld Mehrere Gefundene Objekte aufgefordert werden, wählen Sie die Anmeldung EDI-Subsystembenutzer aus, und klicken Sie auf OK.
Geben Sie im Dialogfeld Datenbankbenutzer – Neu den Namen EDI-Subsystembenutzer für das Textfeld Benutzername ein, und klicken Sie auf OK.
Fügen Sie das Benutzerkonto, unter dem der BizTalk-Dienst ausgeführt wird, der Gruppe EDI-Subsystembenutzer hinzu.
Führen Sie zum Hinzufügen des Benutzerkontos für den BizTalk-Dienst zur Gruppe EDI-Subsystembenutzer die folgenden Schritte aus.
Wenn BizTalk Server für die Verwendung von Domänengruppen konfiguriert ist:
Melden Sie sich an einem Windows Server-Computer in der Domäne an.
Klicken Sie auf Start, Alle Programme, Verwaltung und dann auf Active Directory-Benutzer und -Computer.
Hinweis
Sie müssen über die entsprechenden Berechtigungen auf Domänenebene verfügen, um Objekte in der Active Directory-Benutzer und -Computer-Schnittstelle zu ändern.
Klicken Sie auf , um den Domänencontainer zu erweitern, und klicken Sie darauf, um den Container Benutzer zu erweitern.
Doppelklicken Sie auf die Gruppe EDI-Subsystembenutzer , um die Eigenschaften für diese Gruppe anzuzeigen.
Klicken Sie im Dialogfeld EDI-Subsystembenutzer auf die Registerkarte Mitglieder.
Klicken Sie auf die Schaltfläche Hinzufügen , um das Benutzerkonto für den BizTalk Service dieser Gruppe hinzuzufügen.
Klicken Sie auf OK.
Wenn BizTalk Server für die Verwendung lokaler Gruppen konfiguriert ist:
Melden Sie sich an BizTalk Server an.
Klicken Sie auf Start, Alle Programme, Verwaltung und dann auf Computerverwaltung.
Klicken Sie hier, um Systemtools zu erweitern, klicken Sie auf Lokale Benutzer und Gruppen, und klicken Sie, um Gruppen zu erweitern.
Doppelklicken Sie auf die Gruppe EDI-Subsystembenutzer , um die Eigenschaften für diese Gruppe anzuzeigen.
Klicken Sie auf die Schaltfläche Hinzufügen , um das Benutzerkonto für den BizTalk-Dienst dieser Gruppe hinzuzufügen.
Klicken Sie auf OK.