アダプターをセキュリティで保護するためのベスト プラクティス

  • [アーティクル]

このトピックでは、アダプターのセキュリティに関するベスト プラクティスについて説明します。

コンピューターに信頼されていないアダプターをインストールしない。認定されたアダプター開発パートナーのみを使用する。

既定のアダプター スキーマに、機密性の高い顧客データを格納しない。

ユーザー名とパスワードの情報を構成するのは、アダプターの展開後にしてください。 アダプターの展開後であれば、それらの情報は SSO データベースに格納されます。 SSO データベースの詳細については、「 SSO の使用」を参照してください。

ファイル アダプターおよび EDI アダプターを使用してファイルの取得や削除を行う際に使用される共有フォルダー (受信フォルダーと送信フォルダー) には次のアクセス許可を付与する。

  • 受信フォルダ

    ファイル アダプターで使用する受信フォルダーは、受信場所で構成できます。 EDI アダプターで使用する受信フォルダーは、受信ハンドラーで構成できます。 ファイルを取得する BizTalk ホストのサービス アカウントには、ファイルシステム レベルで次のアクセス許可を付与する必要があります。

    • フォルダーの一覧表示/データの読み取り

    • SubFolder とファイルの削除

      受信フォルダーがネットワーク共有上にある場合、ファイル共有レベルで次のアクセス許可を付与する必要があります。

    • ファイルを取得する BizTalk ホストのサービス アカウントには、フル コントロール アクセス許可が必要です。

    • BizTalk Server 管理者には、トラブルシューティングのためにフル コントロール アクセス許可が必要です。

    • この場所にファイルをドロップする外部のユーザーまたはプログラムには、書き込みアクセス許可が必要です。

  • 送信フォルダー

    ファイル アダプターおよび EDI アダプターで使用する送信フォルダーは、送信ポートで構成できます。

    • ファイルをドロップする BizTalk ホストのサービス アカウントには、書き込みアクセス許可が必要です。

    • BizTalk Server 管理者には、フル コントロール アクセス許可が必要です。

    • ファイルを取得する外部のユーザーまたはプログラムには、読み取りアクセス許可が必要です。

    EDI サービスが BTS_HOST_USERS SQL ロールの実行に使用するユーザー アカウントを追加する。

    これは、BizTalk エクスプローラー オブジェクト管理 (OM) アクセスを管理アクセス許可なしで取得できるようにするために必要です。 ユーザー アカウントを追加するには、BizTalk 管理データベース BizTalkMgmtDb の BTS_HOST_USERS ロールに "EDI Subsystem Users" を追加します。

    SQL Server 2005 で BTS_HOST_USERS ロールに "EDI Subsystem Users" を追加するには、次の手順を実行します。

  1. Start、Programs、Microsoft SQL Server 2008 からSQL Server Management Studioを起動します。

  2. BizTalk 管理データベースを格納する SQL Server に接続します。

  3. オブジェクト エクスプローラーでこのサーバーを展開します。

  4. [ データベース] を展開し、BizTalk 管理データベースを展開します。

  5. [セキュリティ] を展開し、[ロール] を展開し、[データベース ロール] をクリックして選択します。

  6. 詳細ウィンドウで、BTS_HOST_USERSロールを右クリックし、[ プロパティ] をクリックします。

  7. [BTS_HOST_USERS] ダイアログ ボックスで、[追加] をクリックし、[参照] をクリックし、[EDI サブシステム ユーザー] グループの横にあるボックスをチェックして追加します。

    追加するユーザーの一覧に EDI Subsystem Users グループが表示されない場合、EDI Subsystem Users グループを新しいデータベース ユーザーとして BizTalk 管理データベースに追加する必要があります。 EDI Subsystem Users グループを新しいデータベース ユーザーとして追加するには、SQL Server Management Studio で次の手順を実行します。

    1. BizTalk 管理データベースを展開します。

    2. [ セキュリティ] を展開します

    3. [ ユーザー ] を右クリックし、[ 新しいユーザー] をクリックします。

    4. [ ログイン名 ] のテキスト ボックスの横にある省略記号 (...) ボタンをクリックして、[ ログインの選択 ] ダイアログ ボックスを表示します。

    5. [参照] ボタンをクリックし、[ EDI サブシステム ユーザー ] グループを入力し、[ OK] をクリックします。 [ 複数のオブジェクトが見つかりました ] ダイアログ ボックスが表示されたら、[ EDI サブシステム ユーザー ] ログインを選択し、[ OK] をクリックします

    6. [データベース ユーザー - 新規] ダイアログ ボックスで、[ユーザー名] ボックスに「EDI サブシステム ユーザー」と入力し、[OK] をクリックします

    BizTalk サービスが EDI Subsystem Users グループの実行に使用するユーザー アカウントを追加する。

    次の手順に従い、BizTalk サービス用のユーザー アカウントを EDI Subsystem Users グループに追加します。

  • ドメイン グループを使用するように BizTalk Server が構成されている場合

    1. ドメイン内の Windows Server コンピューターにログオンします。

    2. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] の順にクリックし、[Active Directory ユーザーとコンピューター] をクリックします。

      Note

      Active Directory ユーザーとコンピューター インターフェイス内のオブジェクトを変更するには、適切なドメイン レベルのアクセス許可が必要です。

    3. クリックしてドメイン コンテナーを展開し、[ ユーザー ] コンテナーをクリックして展開します。

    4. EDI サブシステム ユーザー グループをダブルクリックして、このグループのプロパティを表示します。

    5. [EDI サブシステム ユーザー] グループ ダイアログの [メンバー] タブをクリックします。

    6. [ 追加 ] ボタンをクリックして、BizTalk サービスのユーザー アカウントをこのグループに追加します。

    7. [OK] をクリックします。

  • ローカル グループを使用するように BizTalk Server が構成されている場合

    1. BizTalk Server にログオンします。

    2. [ スタート] ボタンをクリックし、[ すべてのプログラム]、[ 管理ツール]、[ コンピューターの管理] の順にクリックします。

    3. [ システム ツール] をクリックして展開し、[ ローカル ユーザーとグループ] をクリックして展開し、[グループ] をクリックして展開 します

    4. EDI サブシステム ユーザー グループをダブルクリックして、このグループのプロパティを表示します。

    5. [ 追加 ] ボタンをクリックして、BizTalk サービスのユーザー アカウントをこのグループに追加します。

    6. [OK] をクリックします。