配置文件,协议和附录都存储在 TPM 数据库中。通过 TPM 组件,信息工作者可以对这些项目进行直接的配置。这使得业务人员可以建立和修改新的合作伙伴关系,而不需要请求开发人员的帮助。
2.4.2 业务流程配置
期望信息工作者来创建实现业务处理的业务流程显然不切实际。但是希望信息工作者能够设置业务流程的参数就并不那么难了。在多个合作伙伴使用同一个业务流程,而每个合作伙伴要求稍有不同的行为时就是一个很好的示例。例如,采购订单的最大金额对于不同的贸易合作伙伴可能不同,或可要求的最大数量取决于客户的信用等级。要求开发人员为这些细微的配置更改来修改业务流程显然有些大材小用了。为什么不让业务人员自己完成呢?
这就是 BizTalk Server 2006 中“业务流程配置”服务所实现的功能。为了使信息工作者能够配置业务流程,创建这个业务流程的开发人员可以为它定义一些参数。然后,信息工作者可以根据需要设置这些参数,从而可以为不同的贸易合作伙伴或公司内不同的部门分配不同的值。信息工作者通过前面所介绍的 TPM 服务,在合作伙伴协议的附录中指定这些值来设置这些参数。如果一个协议引用到多个业务流程,那么可以为每个业务流程创建一个专门的附录。
3 安全性
3.1 数据安全
在BizTalk接收消息适配器、发送信息适配器的Decode、Encode过程可以进行加密、解密的过程,实现与业务无关的数据的安全性。
Receive PipelineDecodeDisassembleValidateResolvePartyMIME/SMIME DecoderXML ValidatorXML DisassemblerBTF DisassemblerParty ResolutionFlat File DisassemblerStagesComponents
Send PipelinePre-assembleAssembleEncode(Custom components only)MIME/SMIME EncoderXML AssemblerBTF AssemblerFlat File AssemblerStagesComponents
3.2 传输安全
BizTalk使用多种协议的传输手段,包括HTTP/HTTPS,FTP,File,SMTP等,对于数据异地传输的安全性保证也在这一模块中实现,使用标准PKI体系实现数据的加密传输。传输协议主要采用TCP/IP标准协议,包括HTTP(SSL)、FTP、SMTP、文件传输、SOAP、DCOM、Socket端口直接传送、MSMQ,以及TUXEDO等中间件之间的专用协议调用。把XML数据通过TCP/IP来发送有造成安全性的危险。因为XML文档是一个纯文本的流,这使得任何人在消息的传送过程中有可能读取这个消息。业务数据总线平台提供了严密的保护功能,通过S/MIME或PKCS安全层的方法来保证XML文档的安全性。
另外一个安全问题是保证XML文档的合法性,系统的外部可能有未经授权的文档传送到业务数据总线。例如,一个恶意的欺骗文档如果进入了系统的话,可能会导致敏感信息的外泄或造成某种程度的破坏。业务数据总线平台提供了数字签名的机制来保证从外部进来的消息都是经过合法验证的;同时,对于内部系统的一些机密的文档的传送也可以采用数字签名。
3.3 企业单一登录
当一个业务流程依靠多个不同应用程序时,它就很可能需要面对多个不同的安全域。访问 Windows 系统中的应用程序可能需要一组安全凭据,而访问 IBM 大型机中的应用程序又需要不同的凭据,例如 RACF 用户名和密码。应付这么多凭据给用户带来了很多麻烦,而且更加难以实现流程的自动化。为了解决这个问题,BizTalk Server 2006 提供了“企业单一登录”。
不要误解——这不是一种使用户只需一次登录到所有应用程序的机制。实际上,企业单一登录提供了一种方法将 Windows 用户 ID 映射到非 Windows 用户凭据。它并不解决一个公司内企业登录的所有问题,但是这个服务能够使利用多种系统中应用程序的流程业务更容易进行。
为了使用企业单一登录,管理员需要定义关联应用程序。每个关联应用程序都代表一个非 Windows 系统或应用程序。例如,关联应用程序可以是在 IBM 大型机上运行的 CICS 应用程序,在 Unix 上运行的 SAP ERP 系统,或其他类型的软件。这些应用程序都拥有自己的一个身份验证方法,因此每个应用程序都需要自己特有的凭据。
企业单一登录在用户的 Windows 用户 ID 与用于一个或多个关联应用程序的凭据间建立映射,并将这个映射加密后保存在“凭据”数据库中。当这个用户需要访问关联应用程序时,单一登录 (SSO) 服务器将会在凭据数据库中查找针对这个应用程序的凭据。下图显示了它的工作原理。
在下面的示例中,业务流程对某个应用程序发送给 BizTalk Server 2006 的消息进行处理,然后发送给在 IBM 大型机上运行的一个关联应用程序。企业单一登录的工作就是确保在向关联应用程序发送消息时一起发送正确的凭据(例如正确的用户名和密码)。
CredentialAffiliate Application on Non-Windows System 3) Get user X’s credentials for affiliate applicationSingle Sign-On Server ASingle Sign-On Server B4) Return user X’s credentials for affiliate application5) Send message with user X’s credentials for affiliate applicationIncoming Message1) Get SSO ticket for user X2) Redeem SSO ticketOutgoing MessageOrchestrationReceiveAdapterReceive PipelineSendPipelineSendAdapterMessageBox
如图所示,当接收适配器收到消息时,这个适配器可以从 SSO 服务器 A 请求一个 SSO 票证(步骤1)。这个加密的票证包含有进行请求的用户的 Windows 身份和一个超时期限。(不要与 Kerkeros 票证相混淆——
它们并不一样。)在获得 SSO 票证后,它将被作为一个属性添加到传入消息中。然后这个消息按照正常的路径通过 BizTalk Server 2006 引擎。在这个示例中,就是由业务流程对消息进行处理。在这个业务流程生成传出消息时,这个消息也会包含前面获得的 SSO 票证。
这个新消息的目的地是运行在 IBM 大型机上的应用程序,因此它必须包含合适的凭据,才能使用户能够访问那个应用程序。为了获得这个凭据,发送适配器与 SSO 服务器 B 取得联系(步骤 2),提供刚接收到的消息(其中包含 SSO 票证)和希望检索其凭据的关联应用程序名称。这个操作称为“赎回 (redemption)”,它会促使 SSO 服务器 B 对 SSO 票证进行检验,然后针对该应用程序查找用户凭据(步骤 3)。SSO 服务器 B 将这些凭据返回给发送适配器(步骤 4),然后由发送适配器利用这些凭据向关联应用程序发送一个正确身份验证的消息(步骤 5)。
企业单一登录包含一些用于执行各种操作的管理工具。如,所有对凭据数据库的操作都是经过审核的,因此提供了工具来允许管理员监视这些操作和设置不同的审核等级。另外,还有一些工具能够使管理员禁用某个特定的关联应用程序,打开和关闭某个用户的单独映射,或执行其他功能。还有一些客户端实用程序,能够允许最终用户配置他们自己的凭据和映射。与 BizTalk Server 2006 的其他组成一样,企业单一登录也通过可编程 API 来公开它的服务。第三方 BizTalk Server 适配器的创建者可以利用这个 API 来访问单一登录服务,而管理员则可以使用它来创建脚本,实现日常任务的自动化。
上面所讨论的示例显示了企业单一登录最典型的使用情境,但是并不是唯一选择。例如,规模较小的 BizTalk Server 2006 安装可能只拥有一台 SSO 服务器,甚至可能从 BizTalk Server 2006 引擎来单独使用企业单一登录。由于使用 BizTalk Server 2006 实现的业务流程需要与各种不同的应用程序进行交互,因此将这个组件作为整个产品的一部分是很有意义的。
4 性能
4.1 处理不同类型消息时的性能比较
下图是“Microsoft Tech?Ed 2006中国”中提供的BizTalk Server 2006在处理不同类型消息的性能比较图。
传输类型FILEHTTPMSMQ TxDoc Processed/sec274.4104.5208.3流水线类型Doc Processed/secPassthruXML335.8283.7221.3
SMIME
消息大小20KB200KB2MBDoc Processed/sec187.547.63.8业务流程复杂度Doc Processed/secBasicAtomic scope140.9103.80.8Singleton
从性能上来讲:BizTalk适合做大批量而每笔数据量小的应用,不适合做小批量但每笔数据量很大的应用。 BizTalk在处理复杂业务流程的时候效率下降显著。
4.2 可伸缩的配置
如果使用 BizTalk Server 2006 引擎的 BizTalk 应用程序规模不大,那么可以将整个引擎安装在一台机器上。但在多数情况下,这个引擎需要处理的消息数量对于一台机器来说太多了,或者可能需要实现冗余,来使系统更为可靠。为了满足这样的要求,可以按照多种不同的方法来部署 BizTalk Server 2006 引擎。
部署引擎的基本概念是“主机”思想。一个主机可以包含很多内容,包括业务流程、适配器和管道等。但是主机只是逻辑结构。要使用它们,BizTalk Server 2006 管理员必须创建真正的“主机实例”每个主机实例都是一个 Windows 进程,它可以包含各种不同的项目。在下图中所显示的实例中,Machine A 拥有两个主机实例,其中一个主机实例包含一个接收适配器和接收管道,另一个包含业务流程 P 和 Q。Machine B 仅运行一个主机实
OrchestrationsPQPQSendPipeline 1SendAdapter 1Host InstanceReceiveAdapterReceive PipelineHost InstanceSendPipeline 2SendAdapter 2Host InstanceMachine A
Machine BMachine CMessageBoxMachine D