Administración de la seguridad de BizTalk Server

El mantenimiento de un entorno seguro de Microsoft BizTalk Server requiere que administre cuentas, certificados y contraseñas.

grupos de BizTalk Server

Para ayudar a garantizar la seguridad de los documentos empresariales que controla BizTalk Server, los administradores de BizTalk Server administran las siguientes cuentas y certificados:

  • BizTalk Server grupo Administradores: para que los usuarios realicen tareas administrativas a través de la consola de administración de BizTalk o mediante el proveedor de Instrumental de administración de Microsoft Windows (WMI), se les deben conceder los privilegios adecuados en Microsoft SQL Server y Microsoft Windows. Para obtener más información sobre los privilegios de las tareas administrativas, vea Derechos mínimos de usuario de seguridad.

    Para obtener información sobre cómo agregar usuarios al grupo administradores de BizTalk Server o quitar usuarios del grupo administradores de BizTalk Server, vea How to Manage the BizTalk Server Administrators Group.

    Para obtener más información sobre el inicio de sesión único de Enterprise, consulte Uso del inicio de sesión único.

  • BizTalk Server grupo Operadores: el operador de BizTalk Server es un rol con pocos privilegios que solo tiene acceso a acciones de supervisión y solución de problemas.

    Los miembros del grupo de operadores de BizTalk Server pueden realizar las siguientes acciones:

    • Ver el estado del servicio y el flujo de mensajes.

    • Iniciar o detener aplicaciones.

    • Iniciar o detener orquestaciones.

    • Iniciar o detener puertos de envío o grupos de puertos de envío.

    • Habilitar o deshabilitar ubicaciones de recepción. Los cambios no se hacen efectivos hasta el próximo intervalo de actualización de la caché de 60 segundos, que es el intervalo predeterminado. El intervalo de actualización de la caché se establece en el nivel de grupo de BizTalk Server.

    • Finalizar y reanudar las instancias de servicios.

      Los miembros del grupo de operadores de BizTalk Server no pueden realizar las siguientes acciones:

    • Modificar la configuración de BizTalk Server.

    • Ver las propiedades de contexto del mensaje que estén clasificadas como información que se pueda identificar personalmente o los cuerpos de los mensajes.

    • Modificar el transcurso del enrutamiento de mensajes, como la eliminación de suscripciones del sistema en ejecución o la agregación de suscripciones nuevas a éste, así como la capacidad para publicar mensajes en el tiempo de ejecución de BizTalk Server.

    Nota

    • Si un usuario que es miembro del grupo de operadores de BizTalk Server también es administrador local en los equipos que ejecutan BizTalk Server, puede obtener acceso a los datos más allá de la función del grupo de operadores en estos equipos. Para obtener más información, consulte Derechos mínimos de usuario de seguridad.

    • Si desea permitir que un usuario miembro del grupo de operadores de BizTalk Server supervise servidores BizTalk remotos, éste debe ser miembro también del grupo local de administradores en los equipos remotos.

  • BizTalk Server grupo Usuarios de solo lectura: se trata de un nuevo grupo a partir de BizTalk Server 2020. Los miembros de este grupo pueden ver artefactos, estado del servicio, flujo de mensajes e información de seguimiento. Los miembros no tienen privilegios para realizar ninguna operación administrativa.

    Los miembros del grupo BizTalk Server Usuarios de solo lectura pueden hacer lo siguiente:

    • Visualización de la información del artefacto del usuario

    • Visualización de artefactos de plataforma como Puerto de recepción, Ubicación de recepción, Puerto de envío, Orquestación, Mapas, Directivas, Canalizaciones, Host, Instancias de host y adaptadores

    • Ver el flujo de mensajes y los eventos de mensaje. No se puede ver el contexto del mensaje y el contenido del mensaje.

    • Vea los detalles de las instancias de servicio generales y la información de error.

    • Ver información de seguimiento.

    • Ver información de partes y acuerdos.

    • Vea la página del concentrador de grupos, ejecute la consulta, guarde la consulta y cargue la consulta.

    • Puede exportar enlaces, directivas y MSI, pero no puede importarse.

    Nota

    Si un usuario que es miembro del grupo de usuarios de solo lectura de BizTalk Server también es administrador local en los equipos que ejecutan BizTalk Server, este usuario puede acceder a los datos más allá del rol del grupo Operadores en estos equipos. Para obtener más información, consulte Derechos mínimos de usuario de seguridad.

  • Hosts y cuentas de servicio: al crear un host y sus instancias de host asociadas, debe proporcionar el grupo de Windows para el host y las credenciales de la cuenta de servicio para cada instancia de host. Debe asegurarse de que las cuentas de servicio de instancia de host son miembros del grupo de Windows para el host.

  • Certificados de firma: se especifican certificados de firma (certificados de clave privada) para el grupo de BizTalk. Son opcionales y un administrador de BizTalk Server puede cambiarlos en cualquier momento.

    Para obtener más información completa sobre las cuentas de Windows que BizTalk Server usa, vea Grupos de Windows y cuentas de usuario en BizTalk Server.

Pasos siguientes