Autorisations de sécurité minimales
Les groupes et les comptes utilisés par BizTalk Server possèdent les droits d'utilisateur minimaux dont ils ont besoin pour effectuer la plupart des tâches. Aussi, certaines tâches peuvent nécessiter d'autres droits d'utilisateur en plus de ceux accordés automatiquement à votre groupe par BizTalk Server. Dans cette rubrique :
Appartenance aux groupes et aux rôles
Droits d'utilisateur pour l'exécution des tâches d'administration
Ajout de la communauté – Liste de tâches
Appartenance aux groupes et aux rôles
Le tableau suivant décrit les autorisations de sécurité minimales dont vous avez besoin pour effectuer des tâches dans BizTalk Server :
| Tâche | Groupes ou rôles |
|---|---|
| Paramétrage | |
| Installation | - Administrateurs locaux |
| Configuration | - Administrateurs BizTalk Server - Administrateurs locaux - rôle SQL Server sysadmin - Administrateurs de l’authentification unique - Administrateur OLAP |
| Ajout à un groupe BizTalk Server | - Administrateurs locaux - Administrateurs BizTalk Server |
| Administration de BizTalk | |
| Création d'une base de données MessageBox | - Administrateurs BizTalk Server - rôle SQL Server sysadmin |
| Création et suppression d'un hôte BizTalk | - Administrateurs BizTalk Server - db_ddladmin SQL Server rôle de base de données sur les bases de données BizTalk MessageBox |
| Modification de la propriété de suivi de l'hôte pour un hôte | - Administrateurs BizTalk Server - db_securityadmin SQL Server rôle De base de données sur la base de données d’importation principale BAM, les bases de données BizTalk MessageBox et la base de données BizTalk Tracking |
| Création (installation), suppression et modification des informations d'identification d'une instance d'hôte |
|
| Démarrage et arrêt d'une instance d'hôte | - Administrateurs BizTalk Server |
| Ajout et suppression d'un serveur | - Administrateurs BizTalk Server - Administrateurs locaux sur l’ordinateur que vous ajoutez ou supprimez. |
| Ajout et suppression d'un gestionnaire de réception | - Administrateurs BizTalk Server - Administrateurs affiliés à l’authentification unique |
| Arrêt et démarrage des applications, orchestrations, ports d'envoi et groupes de ports d'envoi | - opérateurs BizTalk Server |
| Activation et désactivation des emplacements de réception | - opérateurs BizTalk Server |
| Recherche d'artefacts | - opérateurs BizTalk Server |
| Ajout d'un adaptateur | - Administrateurs BizTalk Server - Administrateurs affiliés à l’authentification unique |
| Bases de données de sauvegarde | - BTS_BACKUP_USERS rôle pour les bases de données - sysadmin SQL Server rôle sur le SQL Server hébergeant la base de données BizTalk Management. Note: Vous devez configurer le service SQL Server Agent pour qu’il s’exécute sous un compte de domaine ou un compte local avec un utilisateur mappé sur chaque instance de SQL Server. |
| Configuration de groupes BizTalk à l'aide d'un certificat | - Administrateurs BizTalk Server |
| Toutes les autres tâches (WMI inclus) | - Administrateurs BizTalk Server |
| Opérations et suivi des messages et des instances de service | |
| Affichage de la page Hub du groupe, exécution de requêtes, enregistrement et chargement de requêtes | - opérateurs BizTalk Server |
| Afficher les résultats de la requête | - opérateurs BizTalk Server |
| Configuration générale et configuration du suivi | - administrateurs BizTalk Server (lecture et écriture) - opérateurs BizTalk Server (lecture) |
| Consultation d'un cube d'analyse du fonctionnement | - Administrateurs BizTalk Server |
| Afficher les propriétés d’un message | - Administrateurs BizTalk Server |
| Enregistrement de corps de message | - Administrateurs BizTalk Server |
| Utiliser la requête Rechercher un message | - Administrateurs BizTalk Server |
| Utiliser la build de requête | - Administrateurs BizTalk Server |
| Utilisation du débogueur de l'orchestration | - Administrateurs BizTalk Server |
| Affichage du flux de messages et des événements de message dans la page Hub du groupe à l'aide de la console Administration de BizTalk Server. | - opérateurs BizTalk Server |
| Interruption, arrêt et reprise des instances de service | - opérateurs BizTalk Server |
| Archivage et purge de messages à partir de la base de données des suivis | - db_owner rôle sur la base de données BizTalk Tracking |
| Toutes les autres tâches | - Administrateurs BizTalk Server |
| Éditeur de modèle de suivi | |
| Lecture et écriture dans la base de données de gestion BizTalk | - Administrateurs BizTalk Server |
| MMC du bus d'événements BAM | |
| Toutes les tâches | - Administrateurs BizTalk Server |
| Assistant Publication de services WCF BizTalk | |
| Toutes les tâches | - Administrateurs locaux |
| Assistant Publication de services Web BizTalk | |
| Toutes les tâches | - Administrateurs locaux |
| Business Activity Monitoring | |
| Exécution de BM.exe | - db_owner SQL Server rôle de base de données dans les bases de données BAM Primary Import, BAM Star Schema et BAM Archive |
| Exécution de BM.exe, s'il y a une base de données Analysis Services | - db_owner SQL Server rôle de base de données dans les bases de données BAM Primary Import, BAM Star Schema et BAM Archive - Administrateurs OLAP dans la base de données BAM Analysis Services |
| Création d'un compte pour la vue BAM | - db_owner SQL Server rôle base de données dans la base de données d’importation principale BAM - Administrateurs OLAP dans la base de données BAM Analysis Services |
| Moteur de règles (règles de publication) | |
| Déploiement/annulation du déploiement de stratégies, manipulation d'artefacts liés à la sécurité | - RE_ADMIN_USERS SQL Server rôle Base de données dans la base de données du moteur de règles |
Droits d'utilisateur pour l'exécution des tâches d'administration
Le compte utilisé pour exécuter des tâches d'administration à l'aide de la console Administration de BizTalk Server ou de Windows Management Instrumentation (WMI) requiert différents niveaux de droits d'utilisateur selon la tâche à effectuer.
Le tableau suivant décrit les droits d'utilisateur dont le compte à besoin pour effectuer les tâches, des plus faibles (niveau 1) aux plus élevés (niveau 4).
| Niveau des droits d'utilisateur | Droits d'utilisateur octroyés | Tâches |
|---|---|---|
| 0 | - opérateurs BizTalk Server | - Tâches d’administration et de supervision de base. Pas de modification possible des paramètres de configuration. Pas d'accès aux propriétés ou au contenu des messages. |
| 1 | - Administrateurs BizTalk Server | - Toutes les tâches administratives, à l’exception de celles qui nécessitent des droits d’utilisateur de niveau 2 à 4 |
| 2 | - Droits d’utilisateur accordés au niveau 1 - rôle securityadmin SQL Server sur tous les serveurs SQL Server - db_securityadmin et db_accessadmin SQL Server rôles de base de données dans les bases de données BizTalk Tracking, Rule Engine, BizTalk Management, BAM Primary Import et BizTalk MessageBox - db_ddladmin SQL Server rôle de base de données sur toutes les bases de données MessageBox BizTalk - Administrateurs affiliés à l’authentification unique |
- Créer et supprimer des hôtes BizTalk - Modifier la propriété de suivi de l’hôte - Ajouter et supprimer des serveurs - Ajouter et supprimer des gestionnaires de réception - Ajouter des adaptateurs |
| 3 | - Droits d’utilisateur accordés au niveau 2 - Administrateurs locaux sur tous les ordinateurs d’exécution BizTalk Server |
- Créer et supprimer des instances hôtes |
| 4 | - Droits d’utilisateur accordés au niveau 3 - sysadmin SQL Server rôle sur tous les serveurs SQL server qui ont des bases de données MessageBox BizTalk |
- Créer des bases de données MessageBox |
Ajout de la communauté – Liste de tâches
Droits de sécurité minimum pour BizTalk Server 2013 R2 (https://social.technet.microsoft.com/wiki/contents/articles/24590.minimum-security-rights-for-biztalk-server-2013-r2.aspx)
Voir aussi
Access Control et sécurité des donnéesConception des architectures système pour les BizTalk ServerBases de données dans les groupes BizTalk ServerWindows et les comptes d’utilisateur dans BizTalk Server