本主题提供适配器安全性的最佳做法列表。
不要在计算机上安装不受信任的适配器;仅使用经过认证的适配器开发合作伙伴。
不要将敏感的客户数据存储在默认适配器架构中。
只有在部署适配器后,才应配置用户名和密码信息。 这可确保信息存储在 SSO 数据库中。 有关 SSO 数据库的详细信息,请参阅 使用 SSO。
对共享文件夹(接收文件夹和发送文件夹)授予以下权限,这些文件夹用于使用文件和 EDI 适配器选取和删除文件:
接收文件夹
文件适配器的接收文件夹可在接收位置进行配置。 接收处理程序上可配置 EDI 适配器的接收文件夹。 获取文件的 BizTalk 主机的服务帐户应在文件系统级别具有以下权限:
列出文件夹/读取数据
删除子文件夹和文件
如果接收文件夹位于网络共享上,则必须在文件共享级别授予以下权限:
获取文件的 BizTalk 主机的服务帐户必须具有完全控制权限。
BizTalk Server 管理员必须具有完全控制权限才能进行故障排除。
将文件删除到此位置的外部用户或程序必须具有写入权限。
发送文件夹
文件和 EDI 适配器的发送文件夹可在发送端口上配置。
此处放置文件的 BizTalk 主机或主机的服务帐户必须具有写入权限。
BizTalk Server 管理员必须具有完全控制权限。
选取文件的外部用户或程序必须具有读取权限。
将运行 EDI 服务的用户帐户添加到BTS_HOST_USERS SQL 角色。
这是必需的,以便你可以获取 BizTalk Explorer 对象管理(OM)访问权限,而无需管理权限。 为此,请将“EDI 子系统用户”添加到 BizTalk 管理数据库 BizTalkMgmtDb 中的 BTS_HOST_USERS 角色。
若要将“EDI 子系统用户”添加到 SQL Server 2005 上的BTS_HOST_USERS角色,请完成以下步骤:
从“开始”、“程序”、Microsoft SQL Server 2008启动 SQL Server Management Studio。
连接到包含 BizTalk 管理数据库的 SQL Server。
在对象资源管理器中展开此服务器。
展开 数据库,然后展开 BizTalk 管理数据库。
展开“安全性”,展开“角色”,然后单击以选择“数据库角色”
在详细信息窗格中,右键单击BTS_HOST_USERS角色,然后单击“ 属性”。
在“BTS_HOST_USERS”对话框中,单击“ 添加”,单击“ 浏览”,然后选中 EDI 子系统用户组旁边的框以添加它。
如果 EDI 子系统用户组在要添加的用户列表中不可用,则必须将 EDI 子系统用户组作为新数据库用户添加到 BizTalk 管理数据库。 若要将 EDI 子系统用户组添加为新的数据库用户,请在 SQL Server Management Studio 中完成以下步骤:
展开 BizTalk 管理数据库。
展开“安全”。
右键单击 “用户 ”,然后单击“ 新建用户”。
单击“ 登录名 ”文本框旁边的省略号(...)按钮以显示 “选择登录 ”对话框。
单击“浏览”按钮,输入 EDI 子系统用户组 ,然后单击“ 确定 ”。如果系统提示“ 找到多个对象 ”对话框,请选择 EDI 子系统用户 登录名,然后单击“ 确定”。
在“数据库用户 - 新建”对话框中,输入“用户名”文本框的 EDI 子系统用户,然后单击“确定”。
将运行 BizTalk 服务的用户帐户添加到 EDI 子系统用户组。
按照以下步骤将 BizTalk 服务的用户帐户添加到 EDI 子系统用户组。
如果将 BizTalk Server 配置为使用域组:
登录到域中的 Windows Server 计算机。
依次单击“开始”、“所有程序”、“管理工具”和“Active Directory 用户和计算机”。
注释
必须具有适当的域级别权限才能修改 Active Directory 用户和计算机 界面中的对象。
单击以展开域容器,然后单击以展开 “用户” 容器。
双击 EDI 子系统用户组 以显示此组的属性。
单击“EDI 子系统用户组”对话框的“成员”选项卡。
单击“ 添加 ”按钮,将 BizTalk 服务的用户帐户添加到此组。
单击 “确定” 。
如果将 BizTalk Server 配置为使用本地组:
登录到 BizTalk Server。
依次单击“ 开始”、“ 所有程序”、“ 管理工具”和“ 计算机管理”。
单击以展开 系统工具,单击以展开 本地用户和组,然后单击以展开 组。
双击 EDI 子系统用户组 以显示此组的属性。
单击“ 添加 ”按钮,将 BizTalk 服务的用户帐户添加到此组。
单击 “确定” 。