管理 BizTalk Server 安全性

维护安全的 Microsoft BizTalk Server环境要求你管理帐户、证书和密码。

BizTalk Server组

为帮助确保由 BizTalk Server 处理的业务文档的安全性,BizTalk Server 管理员需要管理以下帐户和证书:

  • BizTalk Server管理员组:用户若要通过 BizTalk 管理控制台或 Microsoft Windows Management Instrumentation (WMI) 提供程序执行管理任务,必须在 Microsoft SQL Server 和 Microsoft Windows 中授予适当的权限。 有关管理任务的权限详细信息,请参阅 最低安全用户权限

    有关将用户添加到 BizTalk Server 管理员组或从 BizTalk Server 管理员组中删除用户的信息,请参阅如何管理 BizTalk Server 管理员组

    有关单一Enterprise,请参阅使用 SSO

  • BizTalk Server操作员组:BizTalk Server操作员是一个低特权角色,只能访问监视和故障排除操作。

    BizTalk Server Operators 组的成员可以执行以下操作:

    • 查看服务状态和消息流。

    • 启动或停止应用程序。

    • 启动或停止业务流程。

    • 启动或停止发送端口和发送端口组。

    • 启用或禁用接收位置。 在默认为 60 秒的下一缓存刷新间隔之前,更改不会生效。 缓存刷新间隔是在 BizTalk Server 组级别进行设置的。

    • 终止和恢复服务实例。

      BizTalk Server Operators 组的成员不能执行以下操作:

    • 修改 BizTalk Server 的配置。

    • 查看分类为个人身份信息 (PII) 的消息上下文属性或消息正文。

    • 修改消息路由的过程(例如向正在运行的系统添加新的订阅或从中删除订阅),包括将消息发布到 BizTalk Server 运行时的能力。

    注意

    • 如果某个用户既是 BizTalk Server Operators 组的成员,同时也是运行 BizTalk Server 的计算机的本地管理员,则该用户可以在这些计算机上访问 Operators 组中的角色可以访问的数据以外的数据。 有关详细信息,请参阅最低 安全用户权限

    • 如果要使作为 BizTalk Server Operators 组的成员的用户能够监控远程 BizTalk 服务器,则该用户必须同时是该远程计算机上本地 Administrators 组的成员。

  • BizTalk Server只读用户"组:这是从 2020 BizTalk Server开始的新组。 此组的成员可以查看Artifacts、服务状态、消息流和跟踪信息。 成员没有执行任何管理操作的权限。

    只读BizTalk Server的成员可以执行以下操作:

    • 查看用户项目信息

    • 查看平台项目,例如接收端口、接收位置、发送端口、业务流程、地图、策略、Pipelines、主机、主机实例和适配器

    • 查看消息Flow和消息事件。 无法查看消息上下文和消息内容。

    • 查看常规服务实例详细信息和错误信息。

    • 查看跟踪信息。

    • 查看参与方和协议信息。

    • 查看"组中心"页,执行查询,保存查询并加载查询。

    • 可以导出绑定、策略和 MSI,但不能导入。

    注意

    如果作为 BizTalk Server 只读用户组的成员的用户也是运行 BizTalk Server 的计算机上的本地管理员,则此用户可以访问这些计算机上"操作员"组角色之外的数据。 有关详细信息,请参阅最低 安全用户权限

  • 主机和服务帐户:创建主机及其关联的主机实例时,必须提供主机的 Windows 组以及每个主机实例的服务帐户凭据。 必须确保主机实例服务帐户是该主机的 Windows 组的成员。

  • 签名证书: (为 BizTalk) 私钥证书签名证书。 它们是可选的,并且可以随时由 BizTalk Server 管理员进行更改。

    有关用户使用Windows帐户BizTalk Server,请参阅Windows和用户帐户BizTalk Server。

后续步骤