Märkus.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida sisse logida või kausta vahetada.
Juurdepääs sellele lehele nõuab autoriseerimist. Võite proovida kausta vahetada.
SQL Serveriga ühenduse loomiseks ja autentimiseks Power Appsi abil on mitu võimalust. Selles artiklis kirjeldatakse kontseptsioone, mis võivad olla kasulikud valiku tegemisel SQL Serveriga ühenduse loomise kohta, kasutades teie rakenduse nõuetele vastavat turbelähenemist.
Oluline
Turvalised kaudsed ühendused anti välja jaanuaris 2024. Microsoft soovitab tungivalt kõigil rakendustel, mis kasutavad praegu kaudseid ühendusi, teisendada turvaliseks kaudseteks ühendusteks ja tühistada lõppkasutajatega jagatud ühendused.
Selgesõnaliste, kaudsete ja turvaliste kaudsete ühenduste erinevus
SQL Serveriga luuakse ühendus iga kord, kui loote rakenduse, mis kasutab SQL Serveriga ühenduse loomiseks Power Appsi. Kui sellised rakendused avaldatakse ja neid jagatakse teistega, juurutatakse nende kasutajate jaoks nii rakendus kui ka ühendus. Teisisõnu on rakendus ja ühendus nähtavad kasutajatele, kellega rakendusi jagatakse.
Selliste ühenduste jaoks kasutatav autentimismeetod võib olla otsene või kaudne. Võime ka öelda, et sellist ühendust jagatakse selgesõnaliselt või kaudselt.
- Konkreetselt ühiskasutusse antud ühendus tähendab, et rakenduse lõppkasutaja peab autentima SQL Serveriga oma selgesõnalise identimisteabega. Tavaliselt toimub see autentimine Microsoft Entra või Windowsi autentimise käepigistuse osana taustal. Kasutaja ei märka isegi autentimise toimumist.
- Kaudselt ühisühendus tähendab, et kasutaja kasutab rakenduse loomisel kaudselt selle konto identimisteavet, mida rakenduse looja kasutas andmeallikaga ühenduse loomiseks ja autentimiseks. Lõppkasutaja identimisteavet ei kasutata autentimiseks. Iga kord, kui lõppkasutaja rakendust käitab, kasutab ta identimisteavet, millega autor rakenduse lõi.
- Turvaline kaudselt jagatud ühendus viitab stsenaariumile, kus rakenduse lõppkasutaja kasutab kaudselt selle konto identimisteavet, mida rakenduse looja kasutas rakenduse loomisel andmeallikaga ühenduse loomiseks ja autentimiseks. See tähendab, et lõppkasutaja identimisteavet ei kasutata autentimiseks. Selle asemel kasutab kasutaja rakenduse käivitamisel identimisteavet, millega rakenduse autor rakenduse lõi. Oluline on märkida, et lõppkasutajale ei pakuta otsest juurdepääsu ühendusele ja rakendus võimaldab juurdepääsu ainult piiratud hulgale toimingutele ja tabelitele.
Sql Serveri Power Appsi jaoks saab kasutada järgmist nelja ühenduse autentimistüüpi.
| Autentimistüüp | Power Appsi ühendusmeetod |
|---|---|
| Microsoft Entra Integrated | Selgesõnaline |
| SQL Serveri autentimine | Implicit / Secure Implicit |
| Windowsi autentimine | Implicit / Secure Implicit |
| Windowsi autentimine (ühiskasutuseta) | Selgesõnaline |
Kaudse ühenduse jagamisega seotud riskid
Kõik uued rakendused kasutavad automaatselt uusi turvalisi kaudseid ühendusi. Kui aga rakendused kasutavad varasemaid kaudseid ühendusi, juurutatakse nii rakendus kui ka selle ühendused lõppkasutajatele, tähendab see, et lõppkasutajad saavad luua uusi rakendusi nende ühenduste põhjal.
Kui autor kasutab turvalisi kaudseid ühendusi, tähendab see, et ühendust ei anta ühiskasutusse ja ükski lõppkasutaja ei saa ühendusobjekti. See kõrvaldab riski, et lõppkasutaja autor taaskasutab uue rakenduse loomiseks ühendust. Selle asemel töötab rakendus puhverserveriühendusega, mis on rakendusest teadlik ja suhtleb ainult selle konkreetse rakendusega. Puhverserveri ühendus võimaldab piiratud toiminguid (loomine, lugemine, värskendamine, kustutamine) ja juurdepääsu rakenduse teatud tabelitele, mis määratletakse rakenduse avaldamisel. Seetõttu antakse lõppkasutajale ainult volitatud toimingud ja juurdepääs.
Varasem lihtne kaudselt ühendatav ühendus levitab ühendusobjekti lõppkasutajale. Näiteks kui loote rakenduse, mis filtreerib välja andmed, mida te ei soovi kasutajatele kuvada. Kuid välja filtreeritud andmed on andmebaasis olemas. Kuid kasutate konfigureeritud filtrit tagamaks, et lõppkasutajad ei näe teatud andmeid.
Vanemate stiili lihtsate kaudsete ühenduste korral saavad lõppkasutajad pärast rakenduse juurutamist kasutada teie rakendusega juurutatud ühendust mis tahes uutes rakendustes, mida nad loovad. Uutes rakendustes näevad kasutajad teie rakenduses filtreeritud andmeid. Oluline on kasutada uusi turvalisi kaudseid ühendusi.
Oluline
Kui vanem kaudselt ühiskasutusse antud ühendus on lõppkasutajatele juurutatud, ei kehti uute rakenduste lõppkasutajate loodud piirangud, mille olete ühiskasutusse andnud (nt filtrid või kirjutuskaitstud juurdepääs). Lõppkasutajatel on mis tahes õigused, mida autentimine kaudselt jagatud ühenduse osana lubab. Seega, kui teisendate rakenduse kasutama turvalisi kaudseid ühendusi, peate tühistama ka oma rakendusega jagatud ühendused. Administraatorid saavad hankida aruande rakendustest, millel on COE tööriistakomplektiga kaudselt jagatud ühendused.
Kliendi- ja serveriturve
Andmete turvalisusele ei saa tugineda filtreerimise ega muude kliendipoolsete toimingute turvalisusele. Rakendused, mis nõuavad andmete turvalist filtreerimist, peavad tagama, et serveris toimub nii kasutaja tuvastamine kui ka filtreerimine.
Kasutage selliseid teenuseid nagu Microsoft Entra ID, selle asemel et tugineda rakendustes loodud filtritele kasutaja identiteedi ja turvalisuse osas. See konfiguratsioon tagab serveripoolsete filtrite ootuspärase töö.
Järgmisel joonisel selgitatakse, kuidas erinevad rakenduste turbemustrid kliendipoolsete ja serveripoolsete turbemudelite vahel.
Kliendi turberakenduse mustri [1] korral autendib kasutaja ainult kliendi poolel oleva rakenduse. Seejärel [2] taotleb rakendus teenuse teavet ja [3] teenus tagastab teabe ainult andmetaotluse põhjal.
Serveripoolses turbemustris [1] autendib kasutaja esmalt teenusega, et kasutaja oleks teenusele teada. Seejärel [2] kui kõne tehakse rakendusest, kasutab teenus [3] praeguse kasutaja teadaolevat identiteeti andmete asjakohaseks filtreerimiseks ja [4] tagastab andmed.
Ülalkirjeldatud kaudsed osakonna ühiskasutusstsenaariumid kombineerivad neid kahte mustrit. Kasutaja peab Microsoft Entra identimisteabega Power Appsi teenusesse sisse logima. Selline käitumine on serveri turberakenduste muster. Kasutaja kasutab teenuses Microsoft Entra identiteeti. Seetõttu on rakendus piiratud kasutajate komplektiga, kellega Power Apps on rakendust ametlikult jaganud.
Kuid sql Serveriga seotud kaudselt ühisühendus on kliendi turberakenduse muster. SQL Server teab ainult, et kasutatakse kindlat kasutajanime ja parooli. Iga kliendipoolset filtreerimist saab näiteks uuest rakendusest sama kasutajanime ja parooliga mööda hiilida.
Serveripoolsete andmete turvaliseks filtreerimiseks kasutage SQL Serveri valmisturbefunktsioone (nt ridade reataseme turve ) ja kindlatele kasutajatele kindlate objektide (nt veergude) õiguste keelamist . See meetod kasutab Serveri andmete filtreerimiseks Microsoft Entra kasutaja identiteeti.
Mõned olemasolevad ettevõtteteenused on kasutanud meetodit, mille korral kasutaja identiteet jäädvustatakse äriandmete kihile palju samamoodi nagu Microsoft Dataverse. Sel juhul võib või ei pruugi ärikiht kasutada SQL Serveri reataseme turvet ega keelata funktsioone otse. Kui seda ei juhtu, on sageli nii, et turbefunktsioonid lubatakse salvestatud protseduuride või vaadete abil.
Ärikiht (serveri poolel) kasutab tuntud kasutaja Microsoft Entra identiteeti salvestatud protseduuri käivitamiseks SQL Serveri subjektina ja filtreerib andmeid. Power Apps ei loo praegu salvestatud toimingutega ühendust. Ärikiht võib kutsuda ka vaate, mis kasutab Microsoft Entra identiteeti SQL Serveri subjektina. Sel juhul kasutage vaadetega ühenduse loomiseks Power Appsi, et andmed oleks filtreeritud serveri poolel. Ainult vaadete kasutajatele kuvamiseks võib värskenduste jaoks vaja minna Power Automate'i vooge.