Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL Server na systemie Windows Azure SQL Managed Instance
Ważne
Usługi master Data Services (MDS) są usuwane w programie SQL Server 2025 (17.x). Nadal obsługujemy usługi MDS w programie SQL Server 2022 (16.x) i starszych wersjach.
W usłudze Master Data Services (MDS) użyj zabezpieczeń, aby zapewnić użytkownikom dostęp tylko do określonych danych głównych niezbędnych do ich zadań i uniemożliwić użytkownikom dostęp do danych, które nie powinny być dla nich dostępne.
Możesz również użyć ustawień zabezpieczeń, aby ktoś był administratorem określonego modelu i obszaru funkcjonalnego. Możesz na przykład przyznać komuś możliwość tworzenia wersji modelu klienta lub dać im możliwość ustawiania uprawnień zabezpieczeń.
Zabezpieczenia usługi Master Data Services są oparte na użytkownikach i grupach domeny lokalnej lub usługi Active Directory (AD). Zabezpieczenia usługi MDS umożliwiają używanie szczegółowego poziomu szczegółowości podczas określania danych, do których użytkownik może uzyskać dostęp. Ze względu na stopień szczegółowości zabezpieczenia mogą łatwo stać się skomplikowane. Należy zachować ostrożność podczas przypisywania uprawnień do nakładających się użytkowników i grup. Aby uzyskać więcej informacji, zobacz Nakładanie się uprawnień użytkowników i grup.
Dostęp zabezpieczeń można przypisać w obszarze funkcjonalnym Uprawnienia użytkownika i grupy aplikacji internetowej Master Data Manager lub za pomocą usługi internetowej.
Typy użytkowników
Istnieją dwa typy użytkowników w usługach Master Data Services:
Użytkownicy, którzy uzyskują dostęp do danych w obszarze funkcjonalnym Eksploratora .
Użytkownicy, którzy mają możliwość wykonywania zadań administracyjnych w obszarach innych niż Eksplorator. Ci użytkownicy są nazywani administratorami.
Jak ustawić zabezpieczenia
Aby przyznać użytkownikowi lub grupie uprawnienia dostępu do danych lub funkcji w usłudze MDS, przypisz:
Uprawnienia obszaru funkcjonalnego, które określają, do których z pięciu obszarów funkcjonalnych interfejsu użytkownika może uzyskać dostęp użytkownik.
Uprawnienia obiektu modelu, które określają atrybuty, do których użytkownik może uzyskać dostęp, oraz typ dostępu (odczyt, tworzenie i aktualizowanie), który użytkownik musi mieć do tych atrybutów. Możesz również przypisać uprawnienia administratora na poziomie modelu.
Opcjonalnie uprawnienia członka hierarchii, które określają członków, do których użytkownik ma dostęp, oraz typ dostępu (odczyt, aktualizacja i usuwanie), jaki użytkownik ma do tych członków.
Kiedy przypisujesz uprawnienia do atrybutów i członków, uprawnienia się nakładają, a reguły określają, które z nich mają pierwszeństwo. Aby uzyskać więcej informacji, zobacz Jak są określane uprawnienia.
Zabezpieczenia w dodatku dla programu Excel
Zestaw zabezpieczeń w aplikacji internetowej Master Data Manager ma również zastosowanie do dodatku dla programu Excel. Użytkownicy mogą wyświetlać tylko dane, do których mają uprawnienia dostępu i pracować z nimi. Administratorzy mogą wykonywać zadania administracyjne.
Jedynym zastrzeżeniem jest to, że wszystkie zabezpieczenia przypisane w programie Master Data Manager nie będą obowiązywać w programie Excel, dopóki nie minie 20 minut. Ustawienie MdsMaximumUserInformationCacheInterval definiuje ten interwał w pliku web.config. Aby zmienić interwał, zmień ustawienie i ponownie uruchom usługi Internet Information Services (IIS).
Zagrożenia bezpieczeństwa w usługach Master Data Services
W tej sekcji opisano potencjalne zagrożenia bezpieczeństwa związane z usługami Master Data Services (MDS). Niektóre starsze narzędzia skojarzone z wycofanymi funkcjami mogą powodować luki w zabezpieczeniach, a sam produkt może zawierać nieodłączne zagrożenia bezpieczeństwa. Poniżej podano następujące informacje, aby można było podjąć odpowiednie środki.
| Title | Description | Rekomendacja |
|---|---|---|
| Model autoryzacji | Usługa MDS używa niestandardowego modelu autoryzacji, w którym kontrola dostępu jest wymuszana na poziomie aplikacji. Jeśli osoba atakująca może manipulować wewnętrzną listą użytkowników lub wykorzystać wadę logiki autoryzacji, może uzyskać pełny dostęp do danych głównych. | Aby zmniejszyć wpływ manipulowania listą użytkowników lub błędów autoryzacji, podsumuj czynniki ryzyka w niestandardowym modelu autoryzacji i konspektuj środki wzmacniania zabezpieczeń, takie jak izolacja sieci, ścisłe konta usług o najniższych uprawnieniach i kompleksowe inspekcje. |
| Wdrażanie starszej technologii | Usługa MDS jest usuwana z programu SQL Server 2025 (17.x), a starsze wersje otrzymują tylko aktualizacje zabezpieczeń, zwiększając ryzyko luk w zabezpieczeniach i problemów operacyjnych w czasie. Kluczowym przykładem jest zależność mdS od usługi ActiveX, która wymaga programu Internet Explorer, który jest oficjalnie wycofany i nie jest już obsługiwany. | Zaplanuj migrację do obsługiwanych platform przed zakończeniem okresu wsparcia i unikaj nowych wdrożeń MDS. W przypadku istniejących instalacji zminimalizuj narażenie, ograniczając dostęp do starszych składników (takich jak ActiveX i Internet Explorer), użyj nowoczesnych przeglądarek, jeśli to możliwe, i zaimplementuj mechanizmy kontroli wyrównywanej, takiej jak izolacja sieci i ulepszone monitorowanie. Oceń alternatywne rozwiązania do zarządzania głównymi danymi (MDM), takie jak Microsoft Purview lub platformy MDM partnerów, oraz opracuj strategię migracji etapowej, aby zapewnić ciągłość działania i bezpieczeństwo. |
| Ataki polegające na manipulowaniu danymi i integralności | Zły aktor z dostępem do usług Master Data Services może modyfikować dane główne, co prowadzi do podrzędnego uszkodzenia w planowaniu zasobów przedsiębiorstwa (ERP), zarządzaniu relacjami z klientami (CRM) lub systemach raportowania. | Aby ograniczyć ryzyko naruszenia danych i jego potencjalnego wpływu, poniżej przedstawiono kilka możliwych sugestii: implementowanie rejestrowania i przechowywania wersji transakcji, sprawdzanie integralności przy użyciu procesów uzgadniania, kontrole dostępu oparte na rolach z przepływami pracy zatwierdzania zmian oraz niezawodne procedury tworzenia kopii zapasowych i odzyskiwania. |
| Szyfrowanie i filtrowanie danych | Usługa MDS może przechowywać poufne dane (na przykład rekordy klientów, szczegóły pracowników). Jeśli kontrola dostępu zostanie pominięta, te dane mogą być eksfiltrowane. | Zgodność usługi MDS z opcjami szyfrowania programu SQL Server jest ograniczona. Na przykład funkcja Always Encrypted może spowodować przerwanie reguł i hierarchii MDS, podczas gdy funkcja Transparent Data Encryption (TDE) chroni tylko dane w spoczynku. Aby uzyskać lepsze zabezpieczenia, włącz funkcję TDE, zastosuj dynamiczne maskowanie danych tam, gdzie to możliwe, i skonfiguruj inspekcję programu SQL Server w celu monitorowania dostępu. Unikaj przechowywania wysoce poufnych danych, chyba że te zabezpieczenia zostaną wprowadzone. Aby uzyskać zaawansowany nadzór, rozważ migrację platform z wbudowaną ochroną, taką jak Microsoft Purview z rozwiązaniami MDM partnerów. |
| Pozyskiwanie danych | Usługa MDS obsługuje pozyskiwanie danych za pośrednictwem różnych środków, w tym tabel przejściowych. Aby uzyskać więcej informacji, zobacz Omówienie: importowanie danych z tabel. W takim przypadku mogą wystąpić pewne problemy z zabezpieczeniami. | W przypadku korzystania z tabel przejściowych na potrzeby importowania danych w usługach Master Data Services wymuś ścisłe mechanizmy kontroli, aby zapobiec problemom z zabezpieczeniami. Preferuj pobieranie danych oparte na modelu pull dla scentralizowanego zarządzania, wymagaj unikatowych tożsamości usług z zasadą najmniejszych uprawnień oraz przed zatwierdzeniem danych zweryfikuj schemat i reguły biznesowe. Zapewnij pełną audytowalność poprzez rejestrowanie wszystkich zdarzeń pozyskiwania i izolowanie użytkowników przy użyciu oddzielnych schematów lub tabel przejściowych, aby uniknąć zakażeń krzyżowych. |
Powiązane zadania
| Opis zadania | Article |
|---|---|
| Utwórz użytkownika, który ma pełne uprawnienia do modelu. | Tworzenie administratora modelu |
| Dodaj grupę usługi Active Directory do usługi Master Data Services. Ten krok jest pierwszym w udzielaniu grupie uprawnień dostępu do danych w aplikacji internetowej Master Data Services. | Dodawanie grupy |
| Przypisz uprawnienia do obszaru funkcjonalnego aplikacji internetowej Master Data Services. | Przypisywanie uprawnień obszaru funkcjonalnego |
| Przypisz uprawnienia do wartości atrybutów, przypisując uprawnienie do obiektów modelu. | Przypisywanie uprawnień obiektu modelu |
| Przypisz uprawnienia do wartości składowych, przypisując uprawnienia do węzłów hierarchii. | Przypisywanie uprawnień członków hierarchii |