Gestione della sicurezza di BizTalk Server

La gestione di un ambiente microsoft BizTalk Server sicuro richiede la gestione di account, certificati e password.

gruppi di BizTalk Server

Per aiutare a garantire la sicurezza dei documenti aziendali gestiti da BizTalk Server, gli amministratori di BizTalk Server gestiscono gli account e i certificati seguenti:

• BizTalk Server gruppo Administrators: per consentire agli utenti di eseguire attività amministrative tramite la console di amministrazione BizTalk o tramite il provider Strumentazione gestione Microsoft Windows (WMI), è necessario concedere i privilegi appropriati in Microsoft SQL Server e Microsoft Windows. Per altre informazioni sui privilegi per le attività amministrative, vedere Diritti utente di sicurezza minimi.

  Per informazioni sull'aggiunta di utenti al gruppo administrators di BizTalk Server o sulla rimozione di utenti dal gruppo amministratori di BizTalk Server, vedere Come gestire il gruppo amministratori di BizTalk Server.

  Per altre informazioni su Enterprise Single Sign-On, vedere Uso dell'accesso Single Sign-On di Enterprise.

• gruppo operatori BizTalk Server: l'operatore BizTalk Server è un ruolo con privilegi limitati che ha accesso solo alle azioni di monitoraggio e risoluzione dei problemi.

  I membri del gruppo Operatori BizTalk Server possono eseguire le operazioni seguenti:

  • Visualizzare lo stato del servizio e il flusso messaggi.

  • Avviare e arrestare applicazioni.

  • Avviare o interrompere le orchestrazioni.

  • Avviare o arrestare le porte di trasmissione o gruppi di porte di trasmissione.

  • Abilitare o disabilitare indirizzi di ricezione. Le modifiche vengono applicate solo dopo il successivo intervallo di aggiornamento della cache pari a 60 per impostazione predefinita. L'intervallo di aggiornamento della cache è impostato a livello di gruppo BizTalk Server.

  • Terminare e riprendere le istanze del servizio.

    I membri del gruppo Operatori BizTalk Server non possono eseguire le operazioni seguenti:

  • Modificare la configurazione di BizTalk Server.

  • Visualizzare le proprietà di contesto di messaggi classificate come informazioni che consentono l'identificazione personale dell'utente o i corpi dei messaggi.

  • Modificare il percorso di routing dei messaggi, ad esempio rimuovendo o aggiungendo nuove sottoscrizioni al sistema in esecuzione, inclusa la possibilità di pubblicare messaggi nel runtime di BizTalk Server.

  Nota

  • Se un utente appartenente al gruppo Operatori BizTalk Server è anche un amministratore locale dei computer in cui è in esecuzione BizTalk Server, in tali computer questo utente potrà accedere a un livello di dati superiore rispetto a quello consentito dal gruppo Operatori. Per altre informazioni, vedere Diritti utente di sicurezza minimi.

  • Se si desidera consentire a un utente appartenente al gruppo Operatori BizTalk Server di monitorare server BizTalk remoti, è necessario che tale utente sia anche membro del gruppo Administrators locale nei computer remoti.

• BizTalk Server gruppo Utenti di sola lettura: si tratta di un nuovo gruppo a partire da BizTalk Server 2020. I membri di questo gruppo possono visualizzare artefatti, stato del servizio, flusso di messaggi e informazioni di rilevamento. I membri non dispongono dei privilegi per eseguire operazioni amministrative.

  I membri del gruppo utenti di sola lettura BizTalk Server possono eseguire le operazioni seguenti:

  • Visualizzare le informazioni sull'artefatto utente

  • Visualizzare l'artefatto della piattaforma, ad esempio porta di ricezione, posizione di ricezione, porta di trasmissione, orchestrazione, mappe, criteri, pipeline, host, istanze host e adapter

  • Visualizzare gli eventi Message Flow e Message. Impossibile visualizzare il contesto del messaggio e il contenuto del messaggio.

  • Visualizzare i dettagli e le informazioni sugli errori delle istanze del servizio generale.

  • Visualizzare le informazioni di rilevamento.

  • Visualizzare le parti e le informazioni sul contratto.

  • Visualizzare la pagina hub di gruppo, eseguire query, salvare query e caricare query.

  • Può esportare binding, criteri e identità del servizio gestito, ma non può importare.

  Nota

  Se un utente membro del gruppo utenti di sola lettura BizTalk Server è anche un amministratore locale nei computer che eseguono BizTalk Server, questo utente può accedere ai dati oltre il ruolo del gruppo Operators in questi computer. Per altre informazioni, vedere Diritti utente di sicurezza minimi.

• Host e account di servizio: quando si crea un host e le relative istanze host associate, è necessario specificare il gruppo di Windows per l'host e le credenziali dell'account del servizio per ogni istanza host. È necessario assicurare che gli account del servizio dell'istanza dell'host siano membri del gruppo di Windows per l'host.

• Certificati di firma: i certificati di firma (certificati di chiave privata) vengono specificati per il gruppo BizTalk. Tali certificati sono facoltativi e possono essere modificati in qualsiasi momento da un amministratore di BizTalk Server.

  Per informazioni più complete sugli account di Windows usati da BizTalk Server, vedere Gruppi di Windows e account utente in BizTalk Server.

Passaggi successivi

• Procedure consigliate per la gestione di account utente e gruppi di Windows

• Procedure consigliate per la gestione dei certificati

• Gestione di account utente e gruppi di Windows