Gestion de la sécurité de BizTalk Server

La gestion d’un environnement microsoft BizTalk Server sécurisé nécessite la gestion des comptes, des certificats et des mots de passe.

BizTalk Server groupes

Pour garantir la sécurité des documents commerciaux traités par BizTalk Server, les administrateurs BizTalk Server gèrent les comptes et certificats suivants :

• BizTalk Server groupe Administrateurs : pour que les utilisateurs puissent effectuer des tâches d’administration via la console d’administration BizTalk ou à l’aide du fournisseur Microsoft Windows Management Instrumentation (WMI), les utilisateurs doivent disposer des privilèges appropriés dans Microsoft SQL Server et Microsoft Windows. Pour plus d’informations sur les privilèges pour les tâches d’administration, consultez Droits utilisateur de sécurité minimum.

  Pour plus d’informations sur l’ajout d’utilisateurs au groupe Administrateurs BizTalk Server ou la suppression d’utilisateurs du groupe Administrateurs BizTalk Server, voir How to Manage the BizTalk Server Administrators Group.

  Pour plus d’informations sur l’authentification unique d’entreprise, consultez Utilisation de l’authentification unique.

• BizTalk Server groupe Opérateurs : l’opérateur BizTalk Server est un rôle à faibles privilèges qui a uniquement accès aux actions de supervision et de résolution des problèmes.

  Les membres du groupe Opérateurs BizTalk Server peuvent effectuer les tâches suivantes :

  • Afficher l'état et le flux de messages du service.

  • Démarrer ou arrêter des applications.

  • Démarrer ou arrêter des orchestrations.

  • Arrêter ou démarrer des ports d'envoi et des groupes de ports d'envoi.

  • Activer ou désactiver des emplacements de réception. Les modifications ne sont pas prises en compte avant la fin de l'intervalle d'actualisation du cache de 60 secondes (intervalle par défaut). Cet intervalle est défini au niveau du groupe BizTalk Server.

  • Terminer et reprendre les instances de service.

    Les membres du groupe Opérateurs BizTalk Server ne peuvent pas effectuer les tâches suivantes :

  • Modifier la configuration de BizTalk Server.

  • Afficher les propriétés de contexte de message marquées comme informations d'identification personnelle ou les corps de message.

  • Modifier le routage des messages, par exemple supprimer ou ajouter des abonnements au système en cours d'exécution, ou publier des messages dans un composant d'exécution BizTalk Server.

  Notes

  • Un utilisateur membre du groupe Opérateurs BizTalk Server et administrateur local sur les ordinateurs exécutant BizTalk Server peut accéder aux données présentes sur ceux-ci et non disponibles aux membres du groupe Opérateurs. Pour plus d’informations, consultez Minimum Security User Rights.

  • Si vous souhaitez autoriser un utilisateur membre du groupe Opérateurs BizTalk Server à surveiller des serveurs BizTalk distants, cet utilisateur doit également être membre du groupe Administrateurs local sur les ordinateurs distants.

• BizTalk Server groupe Utilisateurs en lecture seule : il s’agit d’un nouveau groupe commençant par BizTalk Server 2020. Les membres de ce groupe peuvent afficher les artefacts, l’état du service, le flux de messages et les informations de suivi. Les membres ne disposent pas des privilèges nécessaires pour effectuer des opérations administratives.

  Les membres du groupe BizTalk Server Utilisateurs en lecture seule peuvent effectuer les opérations suivantes :

  • Afficher les informations sur l’artefact utilisateur

  • Afficher les artefacts de plateforme tels que port de réception, emplacement de réception, port d’envoi, orchestration, cartes, stratégies, pipelines, hôte, instances d’hôte et adaptateurs

  • Afficher le flux de messages et les événements de message. Impossible d’afficher le contexte du message et le contenu du message.

  • Affichez les détails généraux des instances de service et les informations d’erreur.

  • Afficher les informations de suivi.

  • Afficher les informations sur les parties et les contrats.

  • Afficher la page Hub de groupe, exécuter la requête, enregistrer la requête et charger la requête.

  • Peut exporter la liaison, les stratégies et MSI, mais ne peut pas l’importer.

  Notes

  Si un utilisateur membre du groupe BizTalk Server Utilisateurs en lecture seule est également administrateur local sur les ordinateurs exécutant BizTalk Server, cet utilisateur peut accéder aux données au-delà du rôle du groupe Opérateurs sur ces ordinateurs. Pour plus d’informations, consultez Minimum Security User Rights.

• Hôtes et comptes de service : lors de la création d’un hôte et de ses instances d’hôte associées, vous devez fournir le groupe Windows pour l’hôte et les informations d’identification du compte de service pour chaque hôte instance. Vous devez vous assurer que les comptes de service d'instance d'hôte sont membres du groupe Windows pour l'hôte.

• Certificats de signature : les certificats de signature (certificats de clé privée) sont spécifiés pour le groupe BizTalk. Ils sont facultatifs et un administrateur BizTalk Server peut les modifier à tout moment.

  Pour plus d’informations sur les comptes Windows que BizTalk Server utilisent, consultez Groupes Windows et comptes d’utilisateur dans BizTalk Server.

Étapes suivantes

• Bonnes pratiques pour la gestion des groupes et comptes d’utilisateurs Windows

• Bonnes pratiques pour la gestion des certificats

• Gestion des groupes et comptes d’utilisateurs Windows