Partager via


Considérations de sécurité pour le suivi des données de message et d'instance

Pour des raisons de sécurité, le suivi des messages et des instance de service n’utilise pas de navigateurs ou d’URL comme dans les versions précédentes de BizTalk Server. Cette option de surveillance est incluse en tant que page Présentation du groupe dans la console Administration de BizTalk Server. Pour des raisons de sécurité, BizTalk Server héberge toujours Microsoft Internet Explorer à l’intérieur d’un interpréteur de commandes.

En effectuant le suivi des messages et des données instance de service, vous pouvez accéder aux détails techniques nécessaires pour résoudre les problèmes et optimiser votre environnement BizTalk Server. L'outil de données de suivi étant très puissant, nous vous conseillons d'en restreindre l'accès dans votre environnement de production pour éviter que des utilisateurs malveillants ou non autorisés causent des dommages. Il est conseillé de suivre les recommandations suivantes pour sécuriser et utiliser la console Administration de BizTalk Server dans votre environnement.

  • Vous devez être connecté en tant que membre du groupe Opérateurs BizTalk Server pour afficher les données à l’aide de la console d’administration BizTalk Server. Pour accéder aux corps de message dans la section Vue d’ensemble du groupe de la console Administration BizTalk Server, vous devez être connecté en tant que membre du groupe Administrateurs BizTalk Server.

    Lorsque vous utilisez le suivi des messages et des instances de service, vous pouvez accéder aux bases de données suivantes :

    Base de données Groupe d'utilisateurs/Autorisations
    gestion BizTalk (BizTalkMgmtDb) ; Administrateurs BizTalk Server, opérateurs BizTalk Server
    MessageBox BizTalk (BizTalkMsgBoxDb) Administrateurs BizTalk Server, opérateurs BizTalk Server ou autorisations de lecture/écriture
    Suivi BizTalk (BizTalkDTADb) Administrateurs BizTalk Server, opérateurs BizTalk Server ou autorisations de lecture seule
  • Le suivi des messages et des instance de service génère des rapports sur tous les hôtes dans l’environnement BizTalk Server en fonction des paramètres d’une requête. Pour réduire le risque de divulgation d’informations, seuls les membres du groupe BizTalk Server Administrateurs peuvent utiliser la console d’administration BizTalk Server pour exécuter ces requêtes. Toutefois, si vous ne souhaitez pas que tous les administrateurs BizTalk Server aient accès aux données produites par ce processus de suivi, vous pouvez limiter leur accès aux données en ajoutant/supprimant des utilisateurs du HM_EVENT_WRITER et en BAM_EVENT_WRITER SQL Server rôles dans la base de données BizTalk Tracking (BizTalkDTADb).

  • BizTalk utilise ces rôles pour accorder ou refuser à leurs membres l'accès en écriture et en lecture aux données de suivi dans la base de données correspondante, sans l'aide de l'appartenance au rôle. Ne supprimez pas ces rôles du serveur SQL Server. Lorsqu'un hôte qui héberge le suivi ne l'héberge plus (ou inversement), la procédure stockée adm_ChangeHostTrackingPrivilege est appelée. Cette procédure lit la définition des rôles de serveur SQL Server BAM_EVENT_WRITER et HM_EVENT_WRITER et applique l'instruction d'autorisation ou de refus correspondante au groupe Windows de l'hôte. Cela revient à ajouter le groupe Windows de l'hôte à ces rôles SQL.

  • Lorsque vous configurez les préférences de la console Administration de BizTalk Server pour afficher les données d'une base de données archivée, les requêtes de suivi se connectent aux bases de données qui contiennent les données archivées, et pas à la base de données des suivis BizTalk (BizTalkDTADb) active.

  • Le débogage des orchestrations actives ne peut pas être effectué dans les pare-feu de traduction d'adresse réseau (NAT, <localizedText>Network Address Translation</localizedText>). Pour effectuer cette opération, vous devez disposer d'un ordinateur d'administration dans le domaine de traitement.

  • Selon la façon dont vous configurez le suivi et les pipelines, BizTalk Server peuvent stocker des informations sensibles contenues dans le contexte du message. Si vous utilisez WMI ou le suivi pour enregistrer les corps de message dans un emplacement de fichier, assurez-vous que l’emplacement dispose d’une liste de contrôle d’accès discrétionnaire (DACL) forte afin que seuls BizTalk Server administrateurs disposent d’autorisations de lecture sur ces corps de message. Appliquez la même liste de contrôle d'accès discrétionnaire à tous les emplacements où vous enregistrez les corps de messages, y compris les bases de données autres que BizTalk dans lesquelles vous pouvez archiver et restaurer ces corps de messages.

  • Vous devez accorder des autorisations manuellement au groupe d'administrateurs BizTalk Server pour l'accès à la base de données du serveur d'analyse des suivis (BizTalkAnalysisDb) ; par défaut, seuls les administrateurs OLAP disposent d'autorisations sur cette base.

Voir aussi

Planification du suivi des messages et des instances
Affichage des données d’instance et de message suivies