Suggerimenti sulla sicurezza del Motore regole di business
Il Motore regole di business è il componente runtime del framework delle regole di business. Con il framework per le regole di business è possibile collegare regole di facile lettura, dichiarative e semanticamente complesse a qualsiasi oggetto di business (componenti .NET), documento XML o tabella di database. Per altre informazioni su Business Rule Framework, vedere Creazione e uso di regole business. Per altre informazioni sul motore regole business, vedere Motore regole.
Per il Motore regole di business non sono disponibili gruppi utente di Windows, ma solo account individuali. BizTalk Server limita l'accesso alle risorse del Motore regole di business utilizzando due ruoli di SQL Server:
Il ruolo RE_Admin_Users di SQL Server è destinato agli utenti che devono eseguire attività amministrative nel Motore regole di business, ad esempio distribuire regole. I membri del ruolo RE_Admin_Users di SQL Server includono amministratori BizTalk.
Il ruolo RE_Host_Users è destinato a tutti gli altri utenti del Motore regole di business che non richiedono diritti utente amministrativi ed eseguono attività quali la lettura e l'esecuzione di regole. I membri del ruolo RE_Host_Users includono il ruolo BizTalk_Host_Users. È possibile utilizzare i ruoli di SQL Server per implementare autorizzazioni al Motore regole di business indipendenti dalle autorizzazioni di BizTalk Server. Per altre informazioni sull'autorizzazione minima necessaria per l'uso del motore regole business, vedere Diritti utente di sicurezza minimi. Per garantire la protezione e la distribuzione del Motore regole di business nell'ambiente in uso, attenersi alle indicazioni seguenti:
BizTalk Server concede l'accesso come servizio all'account utilizzato per installare il servizio di aggiornamento e lo aggiunge al ruolo RE_Host_Users di SQL Server nel database Motore regole di business. Se l'account utilizzato per l'installazione non è lo stesso che verrà utilizzato per l'esecuzione del servizio di aggiornamento, è necessario rimuovere l'account di installazione dal ruolo RE_Host_Users di SQL Server.
Se non si usa lo stesso account di un altro account del servizio host BizTalk, aggiungere anche l'account del servizio RuleEngine a BTS_HOST_USERS in BizTalkMgmtDb e BizTalkMsgBoxDb.
Se si utilizza il servizio di aggiornamento, sarà necessario installarlo in tutti i computer nei quali è in esecuzione BizTalk. Per poter recuperare una regola dal database Motore regole di business, il servizio di aggiornamento rappresenta il chiamante del servizio.
Per impostazione predefinita, tutti gli host BizTalk hanno lo stesso livello di accesso agli elementi del Motore regole di business. La sicurezza non viene fornita per singolo host. È possibile invece configurare la sicurezza per singolo criterio utilizzando le API del Motore regole di business. Per altre informazioni su come configurare la sicurezza per criterio, vedere Sicurezza del framework delle regole di business.