Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server auf Windows Azure SQL Managed Instance
Von Bedeutung
Master Data Services (MDS) wird in SQL Server 2025 (17.x) entfernt . Wir unterstützen MDS weiterhin in SQL Server 2022 (16.x) und früheren Versionen.
Verwenden Sie in Master Data Services (MDS) Sicherheit, um sicherzustellen, dass Benutzer nur auf die spezifischen Stammdaten zugreifen, die für ihre Aufträge erforderlich sind, und verhindern, dass Benutzer auf Daten zugreifen, die ihnen nicht zur Verfügung stehen sollten.
Sie können auch Sicherheitseinstellungen verwenden, um jemanden zu einem Administrator eines bestimmten Modells und eines bestimmten Funktionsbereichs zu machen. Sie können beispielsweise jemanden die Möglichkeit zum Erstellen von Versionen des Kundenmodells gewähren oder ihnen die Möglichkeit geben, Sicherheitsberechtigungen festzulegen.
Die Sicherheit von Master Data Services basiert auf lokalen oder Active Directory(AD)-Domänenbenutzern und -gruppen. Beim Bestimmen der Daten, auf die ein Benutzer zugreifen kann, können Sie mithilfe der MDS-Sicherheit eine präzise Detailebene verwenden. Aufgrund der Granularität kann die Sicherheit leicht kompliziert werden. Achten Sie beim Zuweisen von Berechtigungen auf überlappende Benutzer und Gruppen. Weitere Informationen finden Sie unter Überlappende Benutzer- und Gruppenberechtigungen.
Sie können den Sicherheitszugriff im Funktionsbereich Benutzer- und Gruppenberechtigungen der Master Data Manager-Webanwendung oder mit dem Webdienst zuweisen.
Benutzertypen
Es gibt zwei Arten von Benutzern in Master Data Services:
Benutzer, die auf Daten im Explorer-Funktionsbereich zugreifen.
Benutzer, die über die Möglichkeit verfügen, administrative Aufgaben in anderen Bereichen als Explorer auszuführen. Diese Benutzer werden als Administratoren bezeichnet.
So richten Sie die Sicherheit ein
Um einem Benutzer oder einer Gruppe die Berechtigung für den Zugriff auf Daten oder Funktionen in MDS zu erteilen, weisen Sie Folgendes zu:
Berechtigungen für den Funktionalen Bereich, die bestimmen, auf welche der fünf Funktionsbereiche der Benutzeroberfläche ein Benutzer zugreifen kann.
Berechtigungen für Modellobjekte, die festlegen, welche Attribute ein Benutzer zugreifen kann, und welche Art des Zugriffs (Lesen, Erstellen und Aktualisieren) der Benutzer auf diese Attribute hat. Sie können auch Administratorberechtigungen auf Modellebene zuweisen.
Optionalerweise Hierarchiemitgliederberechtigungen, die festlegen, auf welche Mitglieder ein Benutzer zugreifen kann, und die Art des Zugriffs (Lesen, Aktualisieren und Löschen), die der Benutzer für diese Mitglieder hat.
Wenn Sie Attributen und Elementen Berechtigungen zuweisen, überschneiden sich die Berechtigungen. Dabei bestimmen Regeln, welche Berechtigung Vorrang hat. Weitere Informationen finden Sie unter "Bestimmen von Berechtigungen".
Sicherheit im Add-In für Excel
Sicherheitssatz in der Master Data Manager-Webanwendung gilt auch für das Add-In für Excel. Benutzer können nur Daten anzeigen und bearbeiten, auf die sie über die Berechtigung zum Zugriff verfügen. Administratoren können administrative Tasks ausführen.
Die einzige Einschränkung besteht darin, dass alle im Master Data Manager zugewiesenen Sicherheitsmaßnahmen erst in Excel wirksam werden, nach einem Intervall von 20 Minuten. Diese MdsMaximumUserInformationCacheInterval Einstellung definiert dieses Intervall in der web.config Datei. Um das Intervall zu ändern, ändern Sie die Einstellung, und starten Sie Internetinformationsdienste (Internet Information Services, IIS) neu.
Sicherheitsrisiken in Master Data Services
In diesem Abschnitt werden potenzielle Sicherheitsrisiken im Zusammenhang mit Master Data Services (MDS) beschrieben. Bestimmte ältere Tools, die mit eingestellten Features verbunden sind, können Sicherheitsrisiken darstellen, und das Produkt selbst kann sicherheitsbedingte Risiken enthalten. Die folgenden Informationen werden bereitgestellt, damit Sie geeignete Maßnahmen ergreifen können.
| Title | Description | Empfehlung |
|---|---|---|
| Autorisierungsmodell | MDS verwendet ein benutzerdefiniertes Autorisierungsmodell, bei dem die Zugriffssteuerung auf Anwendungsebene erzwungen wird. Wenn ein Angreifer die interne Benutzerliste manipulieren oder einen Fehler in der Autorisierungslogik ausnutzen kann, kann er vollzugriff auf Stammdaten erhalten. | Um die Auswirkungen von Benutzerlistenmanipulation oder Autorisierungsfehlern zu verringern, fassen Sie die Risiken im benutzerdefinierten Autorisierungsmodell zusammen und skizzieren Härtemaßnahmen wie Netzwerkisolation, strengste Dienstkonten und umfassende Überwachung. |
| Einführung von älteren Technologien | MDS wird aus SQL Server 2025 (17.x) entfernt, und frühere Versionen erhalten nur Sicherheitsupdates, wodurch das Risiko von Sicherheitsrisiken und betrieblichen Problemen im Laufe der Zeit erhöht wird. Ein wichtiges Beispiel ist die Abhängigkeit von MDS von ActiveX, die Internet Explorer erfordert, die offiziell eingestellt und nicht mehr unterstützt wird. | Planen Sie die Migration zu unterstützten Plattformen vor Ende des Lebenszyklus, und vermeiden Sie neue Bereitstellungen von MDS. Minimieren Sie bei vorhandenen Installationen die Gefährdung, indem Sie den Zugriff auf ältere Komponenten (z. B. ActiveX und Internet Explorer) einschränken, moderne Browser verwenden und ausgleichende Steuerelemente wie Netzwerkisolation und erweiterte Überwachung implementieren. Bewerten Sie alternative Lösungen für die Stammdatenverwaltung (Master Data Management, MDM), z. B. Microsoft Purview- oder Partner-MDM-Plattformen, und entwickeln Sie eine phasenweise Migrationsstrategie, um Geschäftskontinuität und Sicherheit sicherzustellen. |
| Datenmanipulationen und Integritätsangriffe | Ein schlechter Akteur mit Zugriff auf Master Data Services kann Stammdaten ändern, was zu nachgelagerter Beschädigung in enterprise resource planning (ERP), Customer Relationship Management (CRM) oder Berichterstellungssystemen führt. | Um das Risiko von Datenmanipulation und deren potenzielle Wirkung zu verringern, sind hier einige machbare Vorschläge: Implementieren der Transaktionsprotokollierung und Versionsverwaltung, Integritätsprüfungen mit Abstimmungsprozessen, rollenbasierte Zugriffskontrollen mit Änderungsgenehmigungsworkflows und robuste Sicherungs- und Wiederherstellungsverfahren. |
| Datenverschlüsselung und -filterung | MDS speichert möglicherweise vertrauliche Daten (z. B. Kundendatensätze, Mitarbeiterdetails). Wenn die Zugriffssteuerung umgangen wird, können diese Daten exfiltriert werden. | MDS-Kompatibilität mit SQL Server-Verschlüsselungsoptionen ist eingeschränkt. Beispielsweise kann Always Encrypted MDS-Regeln und Hierarchien unterbrechen, während transparente Datenverschlüsselung (TDE) nur ruhende Daten schützt. Um die Sicherheit zu verbessern, aktivieren Sie TDE, wenden Sie nach Möglichkeit dynamische Datenmasken an, und konfigurieren Sie die SQL Server-Überwachung, um den Zugriff zu überwachen. Vermeiden Sie das Speichern streng vertraulicher Daten, es sei denn, diese Schutzmaßnahmen sind vorhanden. Für fortgeschrittene Governance sollten Sie auf Plattformen mit integriertem Schutz wie Microsoft Purview und den Partner-MDM-Lösungen migrieren. |
| Datenerfassung | MDS unterstützt die Datenaufnahme auf verschiedene Weise, einschließlich Staging-Tabellen. Weitere Informationen finden Sie unter Übersicht: Importieren von Daten aus Tabellen. In diesem Fall können einige Sicherheitsprobleme auftreten. | Wenn Sie Stagingtabellen für den Datenimport in Master Data Services verwenden, erzwingen Sie strenge Steuerelemente, um Sicherheitsprobleme zu verhindern. Bevorzugen Sie die pullbasierte Erfassung für zentralisierte Governance, erfordern eindeutige Dienstidentitäten mit geringsten Berechtigungen und überprüfen Sie Schema- und Geschäftsregeln, bevor Sie Daten übernehmen. Stellen Sie die vollständige Überwachung sicher, indem Sie alle Aufnahmeereignisse protokollieren und Mitwirkende mithilfe separater Stagingschemas oder Tabellen isolieren, um Kontaminationen zu vermeiden. |
Verwandte Aufgaben
| Taskbeschreibung | Artikel |
|---|---|
| Erstellen Sie einen Benutzer, der über die Vollberechtigung für ein Modell verfügt. | Erstellen eines Modelladministrators |
| Fügen Sie eine Active Directory-Gruppe zu Master Data Services hinzu. Dieser Schritt ist der erste Schritt, der eine Gruppenberechtigung für den Zugriff auf Daten in der Master Data Services-Webanwendung erteilt. | Hinzufügen einer Gruppe |
| Weisen Sie die Berechtigung einem Funktionsbereich der Master Data Services-Webanwendung zu. | Zuweisen von Berechtigungen für den Funktionsbereich |
| Weisen Sie die Berechtigung Attributwerten zu, indem Sie die Berechtigung zum Modellieren von Objekten zuweisen. | Zuweisen von Modellobjektberechtigungen |
| Weisen Sie die Berechtigung Elementwerten zu, indem Sie die Berechtigung Hierarchieknoten zuweisen. | Zuweisen von Hierarchiemitgliedsberechtigungen |
Verwandte Inhalte
- Administratoren (Master Data Services)
- Benutzer und Gruppen (Master Data Services)
- Berechtigungen für Funktionsbereiche (Master Data Services)
- Berechtigungen für Modellobjekte (Master Data Services)
- Berechtigungen für Hierarchieelemente (Master Data Services)
- Vorgehensweise: Festlegen von Berechtigungen (Master Data Services)