Erabili Microsoft SQL Server segurtasunez Power Apps-ekin
Modu desberdinak daude konektatzeko eta autentifikatzeko SQL Server-en Power Apps-ekin. Artikulu honetan, SQL zerbitzarira zure aplikaziorako eskakizunekin bat datorren segurtasun ikuspegiarekin nola konektatu aukeratzeko lagungarriak izan daitezkeen kontzeptuak azaltzen dira.
Garrantzitsua
Konexio inplizitu seguruak eginbidea 2024ko urtarrilean kaleratu zen. Microsoft-ek biziki gomendatzen du gaur egun konexio inplizituak erabiltzen dituzten aplikazio guztiak konexio inplizitu seguruetara bihurtzera eta azken erabiltzaileekin partekatutako konexioak baliogabetzera.
Konexio inplizitu esplizitu, inplizitu eta seguruen arteko aldea
SQL Server-era konexioa sortzen da aplikazio bat erabiliz sortzen duzun bakoitzean Power Apps erabiliz SQL Server-era konektatzen. Halako aplikazioak argitaratzen direnean eta beste batzuekin partekatzen direnean, aplikazioa eta konexioa erabiltzaile horiei zabaltzen zaizkie. Beste modu batera esanda, aplikazioa eta konexioa—biak ikusgai daude aplikazioak partekatzen dituzten erabiltzaileentzat.
Konexio hauetarako erabiltzen den autentifikazio metodoa izan daiteke esplizitua edo inplizitua. Konexio hori esplizituki edo inplizituki partekatzen dela ere esan dezakegu.
- Esplizituki partekatutako konexioa esan nahi du aplikazioaren azken erabiltzaileak SQL Server zerbitzuan autentifikatu behar duela bere egiaztagiri esplizituekin. Normalean, autentifikazio hau agertoki atzean gertatzen da Microsoft Entra ren edo Windows autentifikazioaren esku-ematearen zati gisa. Erabiltzailea ez da ohartzen autentifikazioa noiz gertatzen den ere.
- Inplizituki partekatutako konexioa esan nahi du erabiltzaileak inplizituki erabiltzen dituela aplikazioak sortzaileak aplikazioa sortu zuenean datu-iturburu konektatu eta autentifikatzeko erabili zuen kontuaren kredentzialak. Azken erabiltzailearen egiaztagiriak ez dira autentifikatzeko erabiltzen. Azken erabiltzaileak aplikazioa exekutatzen duen bakoitzean, egileak aplikazioa sortu zuen egiaztagiriak erabiltzen ari da.
- A inplizituki partekatutako konexio segurua aplikazioaren azken erabiltzaileak inplizituki erabiltzen dituen aplikazioaren egileak datu-iturburu konektatzeko eta autentifikatzeko erabilitako kontuaren kredentzialak inplizituki erabiltzen dituen eszenatoki bati egiten dio erreferentzia. aplikazioa sortzean. Horrek esan nahi du azken erabiltzailearen berezko kredentzialak ez direla erabiltzen autentifikaziorako. Horren ordez, erabiltzaileak aplikazioa exekutatzen duenean, aplikazioaren egileak sortu dituen kredentzialak erabiltzen ari dira. Garrantzitsua da kontutan izan azken erabiltzaileari ez zaiola konexiorako sarbide zuzenik ematen, eta aplikazioak ekintza eta taula multzo mugatu baterako sarbidea ematen duela.
Ondorengo lau konexio autentifikazio motak SQL Server-ekin erabil daitezke Power Apps-erako:
| Autentifikazio mota | Power Apps Konexio modua |
|---|---|
| Microsoft Entra Integratua | Esplizitua |
| SQL Server autentifikazioa | Inplizitu / Secure Implicit |
| Windows autentifikazioa | Inplizitu / Secure Implicit |
| Windows autentifikazioa (partekatu gabea) | Esplizitua |
Konexioa partekatzeko arrisku inplizituak
Aplikazio berri guztiek automatikoki erabiltzen dituzte konexio inplizitu seguru berriak. Hala ere, "konexio inplizitu" zaharragoak erabiltzen dituzten aplikazioekin, aplikazioa eta bere konexioak azken erabiltzaileei zabaltzen zaizkie, eta horrek esan nahi du azken erabiltzaileek konexio horietan oinarrituta aplikazio berriak idatzi ditzaketela.
Egile batek konexio inplizitu seguruak erabiltzen dituenean, esan nahi du ez dela konexiorik partekatzen eta azken erabiltzaileak ez duela konexio-objektua jasotzen. Horrek ezabatzen du azken erabiltzailearen egileak konexio bat berrerabiltzeko arriskua aplikazio berri bat sortzeko. Horren ordez, aplikazioak aplikazioa ezagutzen duen eta aplikazio zehatz horrekin soilik komunikatzen den proxy konexio batekin funtzionatzen du. Proxy konexioak ekintza mugatuak (sortu, irakurri, eguneratu, ezabatu) eta aplikazioa argitaratzen direnean definitzen diren aplikazioko taula zehatzetarako sarbidea ahalbidetzen du. Beraz, baimendutako ekintzak eta sarbideak soilik ematen zaizkio azken erabiltzaileari.
Estilo zaharragoko konexio inplizitu sinpleak benetan konexio objektu bat banatzen dio amaierako erabiltzaileari. Adibidez, erabiltzaileek ikustea nahi ez dituzun datuak iragazten dituen aplikazio bat sortzen baduzu. Baina, iragazitako datuak datu-basean daude. Baina konfiguratutako iragazkian oinarritzen zara azken erabiltzaileek datu jakin batzuk ikusi ez ditzaten.
Berriz ere, estilo zaharragoko konexio inplizitu sinpleekin, aplikazioa zabaldu ondoren, azken erabiltzaileek zure aplikazioarekin zabaldutako konexioa erabil dezakete sortzen dituzten aplikazio berrietan. Aplikazio berrietan, erabiltzaileek zure aplikazioan iragazi dituzun datuak ikus ditzakete. Garrantzitsua da konexio inplizitu seguru berriak erabiltzea.
Garrantzitsua
Azken erabiltzaileei inplizituki partekatutako konexio zaharrago bat zabaltzen denean, partekatutako aplikazioan jarri dituzun murrizketek (iragazkiak edo irakurtzeko soilik sarbidea, esaterako) ez dute balio azken erabiltzaileek sortzen dituzten aplikazio berrietarako. Azken erabiltzaileek autentifikazioak baimentzen dituen eskubideak izango dituzte inplizituki partekatutako konexioaren zati gisa. Hori dela eta, aplikazio bat konexio inplizitu seguruak erabiltzeko bihurtzen duzunean, ere aplikazioarekin partekatu dituzun konexioak baliogabetu behar dituzu. Administratzaileek inplizituki partekatutako konexioak dituzten aplikazioen txostena lor dezakete COE tresna-kitarekin.
Bezeroaren eta zerbitzariaren segurtasuna
Ezin zara fidatu datuen segurtasunean iragazkien bidez edo bezeroaren aldeko beste eragiketa batzuen bidez, segurua izan dadin. Datuen iragazketa segurua behar duten aplikazioek ziurtatu behar dute zerbitzarian erabiltzaileen identifikazioa eta iragazkia gertatzen direla.
Erabili Microsoft Entra ID bezalako zerbitzuak, aplikazioetan diseinatutako iragazkietan fidatu beharrean, erabiltzaileen identitateari eta segurtasunari dagokionez. Konfigurazio horri esker, zerbitzariaren aldeko iragazkiek espero bezala funtzionatzen dute.
Ondorengo irudietan aplikazioen segurtasun ereduak bezeroaren eta zerbitzariaren segurtasun ereduen artean desberdintzen dira.
Bezeroen segurtasun aplikazio eredu batean, [1] erabiltzaileak bezeroaren aldetik aplikazioan autentifikatzen du soilik. Gero [2] aplikazioak zerbitzuaren informazioa eskatzen du, eta [3] zerbitzuak informazioa eskaeran oinarrituta soilik itzultzen du.
Zerbitzariaren aldeko segurtasun eredu batean, [1] erabiltzaileak lehenik zerbitzuan autentifikatzen du, beraz, erabiltzaileak zerbitzua ezagutzen du. Gero, [2] aplikaziotik deia egiten denean, zerbitzua [3] uneko erabiltzailearen identitate ezaguna erabiltzen du datuak behar bezala iragazteko eta [4] datuak itzultzen ditu.
Goian deskribatutako sailak partekatzeko eszenatoki inplizituak bi eredu horien konbinazioa da. Erabiltzaileak Power Apps zerbitzuan saioa hasi behar du Microsoft Entra kredentzialak erabiliz. Jokabide hau zerbitzariaren segurtasun aplikazioen eredua da. Erabiltzailea zerbitzuko Microsoft Entra identitatea erabiliz ezagutzen da. Hori dela eta, aplikazioa erabiltzaile multzoetara mugatuta dago Power Apps aplikazioa formalki partekatu duenetara.
Hala ere, SQL Server-era partekatutako konexio inplizitua bezeroaren segurtasun aplikazio eredua da. SQL Server-ek soilik daki erabiltzaile izen eta pasahitz zehatz bat erabiltzen dela. Bezeroaren edozein iragazki, adibidez, aplikazio berri batekin saihestu daiteke erabiltzaile izen eta pasahitz berdinak erabiliz.
Datuak zerbitzariaren aldetik modu seguruan iragazteko, erabili segurtasun funtzio integratuak SQL Server-en, esaterako ilara mailako segurtasuna errenkadetarako eta ukatu objektu zehatzetarako (adibidez, zutabeak) baimenak erabiltzaile zehatzetarako. Ikuspegi honek Microsoft Entra erabiltzaile-identitatea erabiltzen du zerbitzariko datuak iragazteko.
Egun dauden zerbitzu korporatibo batzuek planteamendu bat erabili dute, non erabiltzailearen identitatea negozioaren datu geruzan jasotzen den Microsoft Dataverse egiten duen modu berean. Kasu honetan, negozio geruzak SQL Server-en errenkada mailako segurtasuna erabil dezake edo ez, eta funtzioak zuzenean ukatu. Hala ez bada, askotan gertatzen da segurtasuna biltegiratutako prozedura edo ikuspegien bidez gaituta egotea.
Geruza negozioak (zerbitzariaren aldean) erabiltzailearen Microsoft Entra identitate ezagun bat erabiltzen du gordetako prozedura bat deitzeko SQL Server nagusi gisa eta datuak iragazteko. Hala ere, Power Apps ez dago unean gordetako prozedurekin konektatzen. Geruza enpresa batek Microsoft Entra identitatea SQL Server nagusi gisa erabiltzen duen ikuspegi bat ere dei dezake. Kasu honetan, erabili Power Apps ikuspegietara konektatzeko datuak zerbitzariaren aldetik iragazi daitezen. Erabiltzaileei ikuspegiak soilik erakusteak behar izan ditzake Power Automate fluxuak eguneratzeak lortzeko.