Share via

¿Un usuario de AD que pertenece indirectamente a un grupo de seguridad de AD con acceso a la BBDD, tendrá también acceso o no porque para ello debe ser un miembro directo?

Eduard Martos 0 Puntos de reputación
2023-11-05T14:01:49.7366667+00:00

¿Un usuario de AD que pertenece indirectamente a un grupo de seguridad de AD con acceso a la BBDD, tendrá también acceso o no porque para ello debe ser un miembro directo?

Ejemplo (2 niveles):

GrupoSeguridad AD: sgad-sql

Miembros: sgad-devs (grupo)

GrupoSeguridad AD: sgad-devs

Miembros: pepe@contoso.com

El usuario pepe@contoso.com pertenece al grupo sgad-dev, que a su vez, pertence al grupo sgad-sql. Es decir, es miembro directo del grupo sgad-devs, pero miembro indirecto del grupo sgad-sql.

La pregunta es, si el Azure Sql está correctamente configurado para permitir el acceso a una de sus bases de datos únicamente por Ad y únicamente al grupo “sgad-sql”, el usuario pepe@contoso.com podría conectarse siendo miembro indirecto del grupo o nunca podrá porque al

resolver su token se deduce que pertenece únicamente al grupo “sgad-devs” (no se recuperan recursivamente todos los grupos a los que pertenece) y por tanto, salvo que añadamos el grupo directo a los usuarios de la bbdd, no podrá conectarse…

Si esta limitación es así, creo que estaría bien una mejora en la que no lo fuera, ya que si en AD se permiten jerarquías de grupos para organizar mejor a los usuarios/aplicaciones, si luego el Azure Sql no interpreta los miembros indirectos, deja de tener sentido ese uso de grupos de grupos…

Saludos,

Edu

SQL Server
SQL Server
Familia de sistemas de análisis y administración de bases de datos relacionales de Microsoft para soluciones de comercio electrónico, línea de negocio y almacenamiento de datos.
64 preguntas

1 respuesta

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Hassel Anthony Muñoz Lezama 81 Puntos de reputación
    2023-11-14T12:44:28.06+00:00

    Hola Eduardo,

    Definitivamente es un punto importante el que comentas, ya que como la documentación de MS Entra ID nos comenta es nuestra responsabilidad designar el acceso adecuado considerando el principio de minimo privilegio, este principio tambien debe aplicarse para grupos dentro de otros grupos, en este caso recomiendo considerar RBAC para los grupos y si se quiere ser mas granular con los permisos aplicar ABAC en las que podemos aplicar condiciones.

    Ref. ABAC: https://learn.microsoft.com/en-us/azure/role-based-access-control/conditions-overview

    Ref. RBAC: https://learn.microsoft.com/en-us/azure/role-based-access-control/overview

    Espero que sea de tu interes.

    Saludos!

    0 comentarios