Sdílet prostřednictvím

Jak se určí oprávnění (Master Data Services)

Platí pro:SQL Server v systému Windows Azure SQL Managed Instance

Důležité

Hlavní datové služby (MDS) se odeberou v SQL Serveru 2025 (17.x). MdS nadále podporujeme v SQL Serveru 2022 (16.x) a starších verzích.

Nejjednodušší způsob konfigurace zabezpečení ve službě Master Data Services spočívá v přiřazení oprávnění objektu modelu ke skupině, ve které je uživatel členem.

Zabezpečení se stává složitějším v případech:

  • Přiřazují se oprávnění objektu modelu i člena hierarchie.

  • Uživatel patří do skupin a oprávnění je přiřazen uživateli i skupinám.

  • Uživatel patří do skupin a oprávnění je přiřazeno více skupinám.

Oprávnění přiřazená jedné skupině nebo uživateli

Pokud přiřadíte oprávnění jedné skupině nebo uživateli, určí se oprávnění na základě následujícího pracovního postupu.

mds_conc_security_no_overlap mds_conc_security_no_overlap

Krok 1: Určuje se oprávnění efektivního atributu.

Následující seznam popisuje, jak se určují efektivní oprávnění atributů:

  • Oprávnění přiřazená k objektům modelu určují, ke kterým atributům má uživatel přístup.

  • Všechny objekty modelu automaticky dědí oprávnění od nejbližšího objektu na vyšší úrovni ve struktuře modelu.

  • Všechny objekty na stejné úrovni jako entita jsou implicitně odepřeny.

  • Všechny objekty na vyšší úrovni mají přiřazený odvozený režim čtení. Další informace o Inferovaném čtení naleznete v tématu Navigační přístup (Hlavní datové služby).

V tomto příkladu je oprávnění ke čtení přiřazeno entitě a toto oprávnění je zděděno jeho atributem, který je na nižší úrovni ve struktuře modelu. Model poskytuje odvozené čtení pro tuto entitu a její atribut. Druhá entita v modelu nemá přiřazená žádná explicitní oprávnění a nedědí žádná oprávnění, takže je implicitně odepřena.

mds_conc_inheritance_model mds_conc_inheritance_model

Krok 2: Pokud jsou přiřazena oprávnění člena hierarchie, určí se platná oprávnění člena.

Následující seznam popisuje způsob určení efektivních oprávnění členů hierarchie:

  • Oprávnění přiřazená uzlům hierarchie určují, ke kterým členům má uživatel přístup.

  • Všechny uzly v hierarchii automaticky dědí oprávnění od nejbližšího objektu na vyšší úrovni ve struktuře hierarchie.

  • Veškeré uzly na stejné úrovni jsou implicitně zamítnuty.

  • Všechny uzly na vyšších úrovních, které nemají přiřazená oprávnění, jsou implicitně odepřeny.

V tomto příkladu je oprávnění ke čtení přiřazeno jednomu uzlu hierarchie a toto oprávnění dědí uzel na nižší úrovni ve struktuře hierarchie. Kořen nemá přiřazená žádná oprávnění, takže je implicitně odepřen. Druhý uzel v hierarchii nemá přiřazené žádné explicitní oprávnění a nedědí žádná oprávnění, takže je implicitně odepřen.

mds_conc_inheritance_hierarchy mds_conc_inheritance_hierarchy

Krok 3: Určí se průnik oprávnění atributu a člena.

Pokud se platná oprávnění atributu liší od efektivních oprávnění členů, musí být pro každou hodnotu jednotlivých atributů stanovena oprávnění. Další informace naleznete v tématu Překrývající se model a člen oprávnění (hlavní datové služby).

Oprávnění přiřazená více skupinám

Pokud uživatel patří do jedné nebo více skupin a oprávnění jsou přiřazena uživateli i skupinám, pracovní postup bude složitější.

mds_conc_security_group_overlap mds_conc_security_group_overlap

V tomto případě musí být překrytí oprávnění uživatelů a skupin vyřešena před porovnáním oprávnění objektu modelu a člena hierarchie. Další informace najdete v tématu Překrývající se uživatelská a skupinová oprávnění (hlavní datové služby).

Viz také

Překrývající se oprávnění uživatelů a skupin (hlavní datové služby)
Překrývající se model a členová oprávnění (Master Data Services)

  • Last updated on