次の方法で共有

管理ロールのアクセス制御

  • [アーティクル]

BizTalk Server ツールを開いてデータベースや Windows リソースにアクセスし、そのツールがサポートしているさまざまな作業を実行するには、SQL Server および Windows で適切なユーザー権限が与えられていなければなりません。

BizTalk Server のツールは BizTalk Server データベースにアクセスします。 したがって BizTalk Server では、BizTalk Server 管理者に対して、データベースごとに適切なアクセス権を付与する必要があります。 ただしセキュリティ上の理由から、BizTalk Server 管理者に対し、業務の遂行に不要なユーザー権限は設定しないようにします。 SQL Server データベース ロールを使用すると、BizTalk Server で両方の条件を満たすことができます。 インストール中、または BizTalk Server 管理コンソールを使用して BizTalk Server データベースを作成すると、2 つの管理ロール用の SQL ロールがデータベースに自動的に作成されます。 各ロール、およびロールに割り当てられる SQL Server ログインには、管理者がデータベースで管理タスクを実行するときに SQL Server オブジェクト (テーブル、ビュー、ストアド プロシージャなど) に対して持っている必要のある最小限のユーザー権限が許可されます。

Note

ホスト インスタンスの作成など、管理タスクによっては、SQL Server ロールで BizTalk 管理者に与えられた以上の権限が必要となる場合があります。 これらの追加のアクセス許可の詳細については、「 最小セキュリティ ユーザー権限」を参照してください。

BizTalk Serverには、BizTalk Server管理者とBizTalk Server オペレーターの 2 つの管理ロールがあります。 BizTalk Server 管理者は権限レベルの高いロールで、構成データおよび追跡データにアクセスできます。 BizTalk Server オペレーターは、監視とトラブルシューティングのアクションにのみアクセスできる低い特権ロールです。 BizTalk Server Operators グループには次の特徴があります。

  • 権限の低い管理ロールで、メッセージ データにアクセスする権限はありません。

  • メンバは、BizTalk Server のエラー、中断したメッセージやインスタンスへのクエリ、ビュー構成を監視できます。

  • メンバは BizTalk Server 構成を変更できません。 たとえば、BizTalk Server Operator は、送信ポート、受信場所、ポート上のフィルタを変更できず、新しいアイテムを展開できません。

    BizTalk Serverは、製品を初めてインストールするときに、既定のBizTalk Server管理者ロールを作成します。 既定では、このロールは BizTalk Server 管理者と呼ばれますが、別の名前を選択することもできます。

    同様に、BizTalk Serverは、各データベースに各ホストのユーザー グループのSQL Serverデータベース ロールを作成し、ユーザー グループがそのホストのタスクを実行するために必要な最小限のユーザー権限をこのロールに付与します。 BizTalk Server 管理者は、シングル サインオン関連管理者グループに追加する必要があります。 エンタープライズ シングル サインオンの詳細については、「 SSO の使用」を参照してください。

注意事項

BizTalk 管理者は、システムに展開するアセンブリのソースが信頼済みであることを確認する必要があります。 信頼済みでないコードが含まれるアセンブリを展開すると、BizTalk 環境が攻撃の対象になる可能性があります。 BizTalk Server では、BizTalk エンジンでカスタム コード コンポーネントが呼び出された場合、このコンポーネントで実行される処理に対しては制限が適用されません。

参照

アクセス制御とデータ セキュリティ
BizTalk Server の Windows グループ アカウントとユーザー アカウント