Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
SQL Server na Instância Gerenciada de SQL do Windows Azure
Importante
O MDS (Master Data Services) é removido no SQL Server 2025 (17.x). Continuamos a dar suporte ao MDS no SQL Server 2022 (16.x) e versões anteriores.
No MDS (Master Data Services), use as configurações de segurança para garantir que os usuários acessem apenas os dados mestres específicos necessários para o desempenho de suas funções e impeça que acessem dados não autorizados.
Você também pode usar as configurações de segurança para tornar alguém um administrador de um modelo específico e área funcional. Por exemplo, você pode conceder a alguém a capacidade de criar versões do modelo cliente ou dar a ele a capacidade de definir permissões de segurança.
A segurança do Master Data Services é baseada em usuários e grupos de domínio locais ou do Active Directory (AD). A segurança do MDS permite que você use um nível granular de detalhes ao determinar os dados que um usuário pode acessar. Devido à granularidade, a segurança pode facilmente se tornar complicada. Tenha cuidado ao atribuir permissões a usuários e grupos sobrepostos. Para obter mais informações, consulte Permissões sobrepostas de usuário e grupo.
Você pode atribuir acesso de segurança na área funcional Permissões de Usuário e de Grupo do aplicativo Web Master Data Manager ou por meio do serviço Web.
Tipos de usuários
Há dois tipos de usuários no Master Data Services:
Usuários que acessam dados na área funcional do Explorer .
Usuários que têm a capacidade de executar tarefas administrativas em áreas diferentes do Explorer. Esses usuários são chamados de Administradores.
Como definir a segurança
Para conceder a um usuário ou grupo permissão para acessar dados ou funcionalidades no MDS, atribua:
Permissões de área funcional, que determinam quais das cinco áreas funcionais da interface do usuário um usuário pode acessar.
Permissões de objeto de modelo, que determinam os atributos que um usuário pode acessar e o tipo de acesso (Leitura, Criação e Atualização) que o usuário tem a esses atributos. Você também pode atribuir permissões de administrador no nível do modelo.
Opcionalmente, permissões de membro da hierarquia, que determinam os membros que um usuário pode acessar e o tipo de acesso (Leitura, Atualização e Exclusão) que o usuário tem para esses membros.
Quando você atribui permissões a atributos e membros, as permissões se cruzam e as regras determinam qual permissão tem precedência. Para obter mais informações, consulte Como as permissões são determinadas.
Segurança no suplemento para Excel
As configurações de segurança no aplicativo web Master Data Manager também se aplicam ao Complemento para Excel. Os usuários só podem exibir e trabalhar com dados que têm permissão para acessar. Administradores podem executar tarefas administrativas.
A única ressalva é que toda a segurança atribuída no Master Data Manager não entra em vigor no Excel até que passe um intervalo de 20 minutos. A MdsMaximumUserInformationCacheInterval configuração define esse intervalo no web.config arquivo. Para alterar o intervalo, altere a configuração e reinicie o IIS (Serviços de Informações da Internet).
Riscos de segurança no Master Data Services
Esta seção descreve possíveis riscos de segurança relacionados ao MDS (Master Data Services). Determinadas ferramentas herdadas associadas a recursos desativados podem introduzir vulnerabilidades e o produto em si pode conter riscos inerentes à segurança. As informações a seguir são fornecidas para que você possa tomar as medidas apropriadas.
| Title | Description | Recomendação |
|---|---|---|
| Modelo de autorização | O MDS usa um modelo de autorização personalizado em que o controle de acesso é imposto no nível do aplicativo. Se um invasor puder manipular a lista de usuários interna ou explorar uma falha na lógica de autorização, ele poderá obter acesso total aos dados mestres. | Para reduzir o impacto da manipulação da lista de usuários ou falhas de autorização, resumir os riscos no modelo de autorização personalizado e definir medidas de fortalecimento, como isolamento de rede, contas de serviço com privilégios mínimos e auditoria abrangente. |
| Adoção da tecnologia herdada | O MDS é removido do SQL Server 2025 (17.x) e as versões anteriores recebem apenas atualizações de segurança, aumentando o risco de vulnerabilidades e problemas operacionais ao longo do tempo. Um exemplo importante é a dependência do MDS no ActiveX, que requer o Internet Explorer, que está oficialmente desativado e não tem mais suporte. | Planeje a migração para plataformas com suporte antes do fim da vida útil e evite novas implantações de MDS. Para instalações existentes, minimize a exposição restringindo o acesso a componentes herdados (como ActiveX e Internet Explorer), use navegadores modernos sempre que possível e implemente controles de compensação, como isolamento de rede e monitoramento aprimorado. Avalie soluções alternativas para MDM (gerenciamento de dados mestre), como o Microsoft Purview ou plataformas MDM de parceiros, e desenvolva uma estratégia de migração em fases para garantir a continuidade e a segurança dos negócios. |
| Violação de dados e ataques de integridade | Um ator inválido com acesso ao Master Data Services pode modificar dados mestres, levando à corrupção downstream no ERP (planejamento de recursos corporativos), crm (gerenciamento de relacionamento com o cliente) ou sistemas de relatórios. | Para atenuar o risco de adulteração de dados e seu potencial efeito, aqui estão algumas sugestões viáveis: implementação de log e controle de versão de transações, verificações de integridade com processos de reconciliação, controles de acesso baseados em função com fluxos de trabalho de aprovação de alterações e procedimentos robustos de backup e recuperação. |
| Criptografia e filtragem de dados | O MDS pode armazenar dados confidenciais (por exemplo, registros de clientes, detalhes do funcionário). Se o controle de acesso for ignorado, esses dados poderão ser exfiltrados. | A compatibilidade do MDS com as opções de criptografia do SQL Server é limitada. Por exemplo, o Always Encrypted pode quebrar as regras e hierarquias do MDS, enquanto a TDE (transparent Data Encryption) protege apenas os dados em repouso. Para obter uma melhor segurança, habilite o TDE, aplique o mascaramento de dados dinâmicos sempre que possível e configure a Auditoria do SQL Server para monitorar o acesso. Evite armazenar dados altamente confidenciais, a menos que essas proteções estejam em vigor. Para governança avançada, considere migrar plataformas com proteção interna, como o Microsoft Purview com soluções de MDM de parceiro. |
| Ingestão de dados | O MDS dá suporte à ingestão de dados por meio de vários meios, incluindo tabelas de preparo. Para obter mais informações, consulte Visão geral: importando dados de tabelas. Nesse caso, alguns problemas de segurança podem ocorrer. | Ao usar tabelas de preparo para importação de dados no Master Data Services, imponha controles estritos para evitar problemas de segurança. Prefira a ingestão baseada em pull para governança centralizada, exija identidades de serviço exclusivas com privilégios mínimos e valide regras de esquema e de negócios antes de confirmar dados. Verifique a capacidade de auditoria completa registrando todos os eventos de ingestão e isole os colaboradores usando esquemas ou tabelas de preparo separados para evitar contaminação cruzada. |
Tarefas relacionadas
| Descrição da tarefa | Artigo |
|---|---|
| Criar um usuário que permissão total para um modelo. | Criar um administrador de modelos |
| Adicione um grupo do Active Directory ao Master Data Services. Esta etapa é a primeira a conceder a um grupo permissão para acessar dados no aplicativo Web master data services. | Adicionar um grupo |
| Atribuir permissão a uma área funcional do aplicativo Web Master Data Services. | Atribuir permissões de área funcional |
| Atribuir permissão a valores de atributos por meio da atribuição de permissão a objetos modelo. | Atribuir permissões de objeto de modelo |
| Atribuir permissão a valores de membros por meio da atribuição de permissão a nós da hierarquia. | Atribuir Permissões a Membros da Hierarquia |
Conteúdo relacionado
- Administradores (Master Data Services)
- Usuários e grupos (Master Data Services)
- Permissões de área funcional (Master Data Services)
- Permissões de objeto de modelo (Master Data Services)
- Permissões de membro de hierarquia (Master Data Services)
- Como as permissões são determinadas (Master Data Services)