Condividi tramite


Considerazioni sulla sicurezza per il rilevamento dati di messaggi e istanze

Per motivi di sicurezza, il rilevamento di messaggi e istanze di servizio non usa browser o URL come nelle versioni precedenti di BizTalk Server. Questa opzione di monitoraggio è disponibile nella pagina Panoramica gruppo della Console di amministrazione BizTalk Server. Per la compatibilità con le versioni precedenti, BizTalk Server ospita ancora Microsoft Internet Explorer all'interno di una shell per motivi di sicurezza.

Verificando i dati dell'istanza del servizio e dei messaggi, è possibile accedere ai dettagli tecnici necessari per risolvere i problemi e ottimizzare l'ambiente di BizTalk Server. Data l'importanza dei dati di rilevamento, è consigliabile limitarne l'accesso nell'ambiente di produzione, in modo da impedire a utenti malintenzionati o non autorizzati di causare danni. Per garantire la sicurezza e utilizzare al meglio la Console di amministrazione BizTalk Server nell'ambiente in uso, attenersi alle indicazioni seguenti:

  • È necessario essere connessi come membro del gruppo operatori di BizTalk Server per visualizzare i dati usando la console di amministrazione di BizTalk Server. Per accedere ai corpi dei messaggi nella sezione Panoramica del gruppo della console di amministrazione di BizTalk Server, è necessario essere connessi come membro del gruppo BizTalk Server Administrators.

    Tramite la funzionalità di rilevamento delle istanze di messaggi e servizi è possibile accedere ai database seguenti:

    Database Gruppo di utenti/autorizzazioni
    Gestione BizTalk (BizTalkMgmtDb) Amministratori BizTalk Server, Operatori BizTalk Server
    MessageBox BizTalk (BizTalkMsgBoxDb) Amministratori BizTalk Server, Operatori BizTalk Server o autorizzazioni di lettura-scrittura
    Rilevamento BizTalk (BizTalkDTADb) Amministratori BizTalk Server, Operatori BizTalk Server o autorizzazioni di sola lettura
  • Il rilevamento di messaggi e istanze di servizio genera report su tutti gli host nell'ambiente BizTalk Server in base ai parametri di una query. Per ridurre al minimo il potenziale di divulgazione delle informazioni, solo i membri del gruppo amministratori di BizTalk Server possono usare la console di amministrazione di BizTalk Server per eseguire questequerries. Tuttavia, se non si vuole che tutti gli amministratori BizTalk Server abbiano accesso ai dati generati dal processo di rilevamento, è possibile limitare l'accesso ai dati aggiungendo/rimuovendo utenti dai ruoli di HM_EVENT_WRITER e BAM_EVENT_WRITER SQL Server nel database BizTalk Tracking (BizTalkDTADb).

  • BizTalk utilizza i ruoli di SQL Server BAM_EVENT_WRITER e HM_EVENT_WRITER per concedere o negare ai membri le autorizzazioni a leggere o scrivere dati di rilevamento nel database di rilevamento, non però tramite l'appartenenza ai ruoli. Non rimuovere questi ruoli di SQL Server. Quando si modifica un host per attivare o disattivare l'hosting del rilevamento, viene chiamata la stored procedure adm_ChangeHostTrackingPrivilege. Questa stored procedure legge la definizione dei ruoli di SQL Server BAM_EVENT_WRITER e HM_EVENT_WRITER e applica le corrispondenti istruzioni GRANT/DENY al gruppo Host di Windows. In questo modo si ottiene lo stesso effetto dell'aggiunta del gruppo Host di Windows ai ruoli SQL in questione.

  • Quando si configurano le preferenze della Console di amministrazione BizTalk Server per la visualizzazione di dati da un database archiviato, le query di rilevamento si connettono ai database che contengono i dati archiviati e non al database di rilevamento BizTalk (BizTalkDTADb) attualmente attivo.

  • Non è possibile eseguire il debug di orchestrazioni attivate attraverso i firewall NAT (Network Address Translation). Per eseguire il debug di orchestrazioni attivate, è necessario disporre di un computer di amministrazione nel dominio di elaborazione.

  • A seconda del modo in cui si configura il rilevamento e le pipeline, BizTalk Server può archiviare informazioni riservate contenute nel contesto del messaggio. Se si usa WMI o rilevamento per salvare i corpi dei messaggi in un percorso di file, assicurarsi che la posizione disponga di un elenco di controllo di accesso discrezionale (DACL) in modo che solo BizTalk Server Amministratori dispongano delle autorizzazioni di lettura per questi corpi dei messaggi. Applicare lo stesso DACL a qualsiasi percorso in cui vengono salvati i corpi dei messaggi, inclusi i database non BizTalk dove è possibile archiviare o ripristinare tali elementi.

  • È necessario concedere manualmente autorizzazioni al gruppo Amministratori BizTalk Server per accedere al database di rilevamento di Analysis Server (BizTalkAnalysisDb); per impostazione predefinita, solo gli amministratori OLAP dispongono di autorizzazioni per esso.

Vedere anche

Pianificazione del rilevamento di messaggi e istanze
Visualizzazione dei dati delle istanze e dei messaggi rilevati