Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
SQL Server sur Windows Azure SQL Managed Instance
Important
Master Data Services (MDS) est supprimé dans SQL Server 2025 (17.x). Nous continuons à prendre en charge MDS dans SQL Server 2022 (16.x) et les versions antérieures.
Dans Master Data Services (MDS), utilisez la sécurité pour garantir que les utilisateurs accèdent uniquement aux données de référence spécifiques nécessaires pour leurs travaux et empêchent les utilisateurs d’accéder aux données qui ne doivent pas être disponibles pour eux.
Vous pouvez également utiliser des paramètres de sécurité pour faire d’une personne un administrateur d’un modèle et d’une zone fonctionnelle spécifique. Par exemple, vous pouvez accorder à quelqu’un la possibilité de créer des versions du modèle client ou lui donner la possibilité de définir des autorisations de sécurité.
La sécurité master Data Services est basée sur des utilisateurs et des groupes de domaine locaux ou Active Directory (AD). La sécurité MDS vous permet d'utiliser un niveau de détail granulaire pour déterminer les données auxquelles un utilisateur peut accéder. En raison de la granularité, la sécurité peut facilement devenir compliquée. Soyez prudent lors de l’attribution d’autorisations à des utilisateurs et des groupes qui se chevauchent. Pour plus d’informations, consultez Autorisations d’utilisateur et de groupe qui se chevauchent.
Vous pouvez attribuer un accès de sécurité dans la zone fonctionnelle Autorisations d’utilisateur et de groupe de l’application Web Master Data Manager ou à l’aide du service Web.
Types d’utilisateurs
Il existe deux types d’utilisateurs dans Master Data Services :
Utilisateurs qui accèdent aux données dans la zone fonctionnelle de l’Explorateur .
Utilisateurs qui ont la possibilité d’effectuer des tâches administratives dans des zones autres que l’Explorateur. Ces utilisateurs sont appelés Administrateurs.
Comment définir la sécurité
Pour accorder à un utilisateur ou un groupe l’autorisation d’accéder aux données ou aux fonctionnalités dans MDS, affectez :
Autorisations de zone fonctionnelle, qui déterminent les cinq zones fonctionnelles de l’interface utilisateur auxquelles un utilisateur peut accéder.
Autorisations d’objet de modèle, qui déterminent les attributs auxquels un utilisateur peut accéder et le type d’accès (lecture, création et mise à jour) que l’utilisateur a à ces attributs. Vous pouvez également attribuer des autorisations d’administrateur au niveau du modèle.
Si vous le souhaitez, les autorisations de membre de hiérarchie, qui déterminent les membres auxquels un utilisateur peut accéder, et le type d’accès (Lecture, Mise à jour et Suppression) que l’utilisateur a à ces membres.
Lorsque vous affectez des autorisations à des attributs et des membres, ces autorisations se croisent et des règles déterminent leur ordre de priorité. Pour plus d’informations, consultez La façon dont les autorisations sont déterminées.
Sécurité du complément pour Excel
Les paramètres de sécurité dans l’application web Master Data Manager s’appliquent également au complément pour Excel. Les utilisateurs peuvent uniquement afficher et utiliser des données qu’ils ont l’autorisation d’accéder. Les administrateurs peuvent effectuer les tâches d'administration.
La seule mise en garde est que toute la sécurité affectée dans Master Data Manager ne prend pas effet dans Excel tant qu’un intervalle de 20 minutes ne passe pas. Le MdsMaximumUserInformationCacheInterval paramètre définit cet intervalle dans le web.config fichier. Pour modifier l’intervalle, modifiez le paramètre et redémarrez Internet Information Services (IIS).
Risques de sécurité dans Master Data Services
Cette section décrit les risques de sécurité potentiels liés à Master Data Services (MDS). Certains outils hérités associés aux fonctionnalités supprimées peuvent introduire des vulnérabilités, et le produit lui-même peut contenir des risques de sécurité inhérents. Les informations suivantes sont fournies afin que vous puissiez prendre les mesures appropriées.
| Titre | Descriptif | Recommandation |
|---|---|---|
| Modèle d’autorisation | MDS utilise un modèle d’autorisation personnalisé où le contrôle d’accès est appliqué au niveau de l’application. Si un attaquant peut manipuler la liste des utilisateurs internes ou exploiter une faille dans la logique d’autorisation, il peut obtenir un accès complet aux données de référence. | Pour réduire l’impact de la manipulation de liste d’utilisateurs ou des failles d’autorisation, récapitulez les risques dans le modèle d’autorisation personnalisé et décrivez les mesures de renforcement telles que l’isolation réseau, les comptes de service à privilèges minimum stricts et l’audit complet. |
| Adoption de la technologie héritée | MDS est supprimé de SQL Server 2025 (17.x) et les versions antérieures reçoivent uniquement les mises à jour de sécurité, ce qui augmente le risque de vulnérabilités et de problèmes opérationnels au fil du temps. Un exemple clé est la dépendance de MDS sur ActiveX, qui nécessite Internet Explorer, qui est officiellement mis hors service et n’est plus pris en charge. | Planifiez la migration vers des plateformes prises en charge avant la fin de vie et évitez les nouveaux déploiements de MDS. Pour les installations existantes, réduisez l’exposition en limitant l’accès aux composants hérités (tels qu’ActiveX et Internet Explorer), utilisez les navigateurs modernes dans la mesure du possible et implémentez des contrôles de compensation tels que l’isolation réseau et la surveillance améliorée. Évaluez d’autres solutions pour la gestion des données de référence (GPM), telles que les plateformes GPM microsoft Purview ou partenaires, et développez une stratégie de migration par phases pour garantir la continuité et la sécurité de l’activité. |
| Attaques contre la falsification et l’intégrité des données | Un acteur incorrect ayant accès à Master Data Services peut modifier les données de référence, ce qui entraîne une altération en aval dans la planification des ressources d’entreprise (ERP), la gestion des relations client (CRM) ou les systèmes de création de rapports. | Pour atténuer le risque de falsification des données et de son effet potentiel, voici quelques suggestions réalisables : implémentation de la journalisation et du contrôle de version des transactions, vérifications d’intégrité avec les processus de rapprochement, contrôles d’accès en fonction du rôle avec flux de travail d’approbation des modifications et procédures de sauvegarde et de récupération robustes. |
| Chiffrement et filtrage des données | MDS peut stocker des données sensibles (par exemple, les enregistrements client, les détails des employés). Si le contrôle d’accès est contourné, ces données peuvent être exfiltrées. | La compatibilité MDS avec les options de chiffrement SQL Server est limitée. Par exemple, Always Encrypted peut interrompre les règles et hiérarchies MDS, tandis que le chiffrement transparent des données (TDE) protège uniquement les données au repos. Pour une meilleure sécurité, activez TDE, appliquez le masquage des données dynamiques le cas échéant et configurez l’audit SQL Server pour surveiller l’accès. Évitez de stocker des données hautement sensibles, sauf si ces protections sont en place. Pour une gouvernance avancée, envisagez de migrer des plateformes avec une protection intégrée telle que Microsoft Purview avec des solutions MDM partenaires. |
| Ingestion des données | MDS prend en charge l’ingestion de données via différents moyens, notamment les tables intermédiaires. Pour plus d’informations, consultez Vue d’ensemble : Importation de données à partir de tables. Dans ce cas, certains problèmes de sécurité peuvent se produire. | Lorsque vous utilisez des tables intermédiaires pour l’importation de données dans Master Data Services, appliquez des contrôles stricts pour éviter les problèmes de sécurité. Préférez l’ingestion basée sur l’extraction pour la gouvernance centralisée, exigez des identités de service uniques avec les privilèges les plus faibles, et validez le schéma et les règles métier avant de valider les données. Assurez-vous de l’audit totale en journalisant tous les événements d’ingestion et en isolez les contributeurs à l’aide de schémas ou de tables intermédiaires distincts pour éviter toute contamination croisée. |
Tâches associées
| Description de la tâche | Article |
|---|---|
| Créer un utilisateur disposant d'une autorisation totale sur un modèle. | Créer un administrateur de modèle |
| Ajoutez un groupe Active Directory à Master Data Services. Cette étape est la première à donner à un groupe l’autorisation d’accéder aux données dans l’application web Master Data Services. | Ajouter un groupe |
| Accorder une autorisation d’accès à une zone fonctionnelle de l’application Web Master Data Services. | Attribuer des autorisations de zone fonctionnelle |
| Accorder une autorisation d'accès aux valeurs d'attribut en accordant une autorisation d'accès aux objets de modèle. | Attribuer des autorisations d’objet de modèle |
| Accorder une autorisation d'accès aux valeurs de membre en accordant une autorisation d'accès aux nœuds de la hiérarchie. | Attribuer des autorisations de membre de hiérarchie |
Contenu connexe
- Administrateurs (Master Data Services)
- Utilisateurs et groupes (Master Data Services)
- Autorisations de zone fonctionnelle (Master Data Services)
- Autorisations d’objet de modèle (Master Data Services)
- Autorisations des membres de la hiérarchie (Master Data Services)
- Mode de détermination des autorisations (Master Data Services)