Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
SQL Server v systému Windows Azure SQL Managed Instance
Důležité
Hlavní datové služby (MDS) se odeberou v SQL Serveru 2025 (17.x). MdS nadále podporujeme v SQL Serveru 2022 (16.x) a starších verzích.
Ve službě MDS (Master Data Services) zajistěte, aby uživatelé měli přístup jenom ke konkrétním hlavním datům potřebným pro své úlohy a zabránili uživatelům v přístupu k datům, která by jim neměla být k dispozici.
Nastavení zabezpečení můžete také použít k tomu, aby se někdo stal správcem konkrétního modelu a funkční oblasti. Můžete například někomu udělit možnost vytvářet verze modelu zákazníka nebo jim udělit možnost nastavit oprávnění zabezpečení.
Zabezpečení služby Master Data Services je založené na místních uživatelích a skupinách domény služby Active Directory (AD). Zabezpečení MDS umožňuje použít podrobnou úroveň podrobností při určování dat, ke kterým má uživatel přístup. Kvůli členitosti může být zabezpečení snadno složité. Při přiřazování oprávnění překrývajícím se uživatelům a skupinám buďte opatrní. Další informace naleznete v tématu Překrývající se oprávnění uživatele a skupiny.
Přístup k zabezpečení můžete přiřadit v funkční oblasti Oprávnění uživatele a skupiny webové aplikace Hlavní správce dat nebo pomocí webové služby.
Typy uživatelů
Ve službě Master Data Services existují dva typy uživatelů:
Uživatelé, kteří přistupují k datům v funkční oblasti Průzkumníka
Uživatelé, kteří mají možnost provádět úlohy správy v jiných oblastech než v Průzkumníku. Těmto uživatelům se říká Správci.
Jak nastavit zabezpečení
Pokud chcete uživateli nebo skupině udělit oprávnění pro přístup k datům nebo funkcím v MDS, přiřaďte:
Oprávnění k funkční oblasti, která určují, ke kterým z pěti funkčních oblastí uživatelského rozhraní má uživatel přístup.
Oprávnění objektu modelu, která určují atributy, ke kterým má uživatel přístup, a typ přístupu (čtení, vytvoření a aktualizace), který má uživatel k těmto atributům. Oprávnění správce můžete také přiřadit na úrovni modelu.
Volitelně lze nastavit oprávnění členů hierarchie, která určují, ke kterým členům má uživatel přístup, a typ přístupu (čtení, úpravy a odstranění) k těmto členům.
Když přiřadíte oprávnění atributům a členům, oprávnění protínají a pravidla určují, která oprávnění mají přednost. Další informace naleznete v tématu Určení oprávnění.
Zabezpečení v doplňku pro Excel
Zabezpečení nastavené ve webové aplikaci Master Data Manager platí také pro doplněk pro Excel. Uživatelé můžou zobrazit data a pracovat s daty, ke kterým mají oprávnění. Správci můžou provádět úlohy správy.
Jediným upozorněním je, že se v Excelu neprojeví všechna zabezpečení přiřazená v Master Data Manageru, dokud neprojde 20minutový interval. Toto MdsMaximumUserInformationCacheInterval nastavení definuje tento interval v web.config souboru. Pokud chcete změnit interval, změňte nastavení a restartujte internetovou informační službu (IIS).
Rizika zabezpečení v hlavních datových službách
Tato část popisuje potenciální rizika zabezpečení související s hlavními datovými službami (MDS). Některé starší nástroje přidružené k vyřazeným funkcím můžou představovat ohrožení zabezpečení a samotný produkt může obsahovat vlastní bezpečnostní rizika. K dispozici jsou následující informace, abyste mohli přijmout příslušná opatření.
| Title | Description | Recommendation |
|---|---|---|
| Model autorizace | MdS používá vlastní autorizační model, kde se řízení přístupu vynucuje na úrovni aplikace. Pokud útočník může manipulovat s interním seznamem uživatelů nebo zneužít chybu v autorizační logice, může získat úplný přístup k hlavním datům. | Pokud chcete snížit dopad manipulace se seznamem uživatelů nebo chyb autorizace, shrňte rizika ve vlastním autorizačním modelu a nastínit opatření posílení zabezpečení, jako je izolace sítě, striktní účty služeb s nejnižšími oprávněními a komplexní auditování. |
| Přijetí starší technologie | MDS se odebere ze SQL Serveru 2025 (17.x) a starší verze dostávají pouze aktualizace zabezpečení, což postupem času zvyšuje riziko zranitelností zabezpečení a provozních problémů. Klíčovým příkladem je závislost MDS na ActiveX, která vyžaduje Internet Explorer, který je oficiálně vyřazený a už se nepodporuje. | Naplánujte migraci na podporované platformy před koncem životnosti a vyhněte se novým nasazením MDS. U stávajících instalací minimalizujte expozici omezením přístupu ke starším komponentám (například ActiveX a Internet Explorer), použijte moderní prohlížeče, pokud je to možné, a implementujte kompenzační ovládací prvky, jako je izolace sítě a vylepšené monitorování. Vyhodnoťte alternativní řešení pro správu hlavních dat (MDM), jako jsou Microsoft Purview nebo partnerské platformy MDM, a vytvořte strategii postupné migrace, která zajistí kontinuitu a zabezpečení podnikových procesů. |
| Útoky na manipulaci s daty a integritou | Chybný aktér s přístupem k hlavním datovým službám může upravovat hlavní data, což vede k poškození podřízených dat v oblasti plánování podnikových zdrojů (ERP), řízení vztahů se zákazníky (CRM) nebo systémů generování sestav. | Pokud chcete zmírnit riziko manipulace s daty a jejich potenciálním účinkem, tady je několik možných návrhů: implementace protokolování transakcí a správy verzí, kontroly integrity s procesy odsouhlasení, řízení přístupu na základě role s pracovními postupy schvalování změn a robustní postupy zálohování a obnovení. |
| Šifrování a filtrování dat | MDS může ukládat citlivá data (například záznamy zákazníků, podrobnosti o zaměstnancích). Pokud je řízení přístupu vynecháno, je možné tato data exfiltrovat. | Kompatibilita MDS s možnostmi šifrování SQL Serveru je omezená. Funkce Always Encrypted může například narušit pravidla a hierarchie MDS, zatímco transparentní šifrování dat chrání neaktivní uložená data. Pokud chcete zlepšit zabezpečení, povolte transparentní šifrování dat, použijte dynamické maskování dat, pokud je to možné, a nakonfigurujte auditování SQL Serveru pro monitorování přístupu. Vyhněte se ukládání vysoce citlivých dat, pokud nejsou tato ochrana zavedená. U pokročilých zásad správného řízení zvažte migraci platforem s integrovanou ochranou, jako je Microsoft Purview s partnerskými řešeními MDM. |
| Příjem dat | MDS podporuje příjem dat různými způsoby, včetně etapových tabulek. Další informace najdete v tématu Přehled: Import dat z tabulek. V takovém případě může dojít k některým problémům se zabezpečením. | Při použití pracovních tabulek pro import dat ve službě Master Data Services vynucujte přísné kontroly, které brání problémům se zabezpečením. Upřednostňujte příjem dat typu pull pro centralizované řízení, vyžadujte jedinečné identity služeb s nejnižšími oprávněními, a před potvrzením dat ověřte schémata a obchodní pravidla. Zajistěte úplnou auditovatelnost protokolováním všech událostí příjmu dat a izolace přispěvatelů pomocí samostatných přípravných schémat nebo tabulek, abyste zabránili křížové kontaminaci. |
Související úkoly
| Popis úkolu | Article |
|---|---|
| Vytvořte uživatele, který má úplná oprávnění k modelu. | Vytvoření správce modelu |
| Přidejte skupinu Active Directory do služby Master Data Services. Tento krok je první, co dává skupině oprávnění pro přístup k datům ve webové aplikaci Master Data Services. | Přidání skupiny |
| Přiřaďte oprávnění k funkční oblasti webové aplikace Master Data Services. | Přiřazení oprávnění k funkční oblasti |
| Přiřazením oprávnění k hodnotám atributů přiřaďte oprávnění k objektům modelu. | Přiřazení oprávnění objektu modelu |
| Přiřaďte oprávnění k hodnotám členů tím, že přidělíte oprávnění uzlům hierarchie. | Přiřazení oprávnění člena hierarchie |