Oharra
Baimena behar duzu orria atzitzeko. Direktorioetan saioa has dezakezu edo haiek alda ditzakezu.
Baimena behar duzu orria atzitzeko. Direktorioak alda ditzakezu.
Power Apps-ekin SQL Server-era konektatzeko eta autentifikatzeko modu desberdinak daude. Artikulu honek SQL Server-era nola konektatu erabakitzeko lagungarriak izan daitezkeen kontzeptuak azaltzen dira, zure aplikazioaren eskakizunekin bat datorren segurtasun-ikuspegiarekin.
Garrantzitsua da
Konexio inplizituen funtzioa 2024ko urtarrilean kaleratu zen. Microsoft-ek gaur egun konexio inplizituak erabiltzen dituzten aplikazio guztiak konexio inplizitu seguruetara bihurtzea eta azken erabiltzaileekin partekatutako konexioak baliogabetzea gomendatzen du.
Konexio esplizitu, inplizitu eta seguruen arteko aldea
SQL Server-ekin konexioa sortzen da Power Apps erabiliz SQL Server-era konektatzen den aplikazio bat sortzen duzunean. Aplikazio horiek argitaratzen eta beste batzuekin partekatzen direnean, aplikazioa eta konexioa erabiltzaile horiei zabaltzen zaizkie. Beste modu batera esanda, aplikazioa eta konexioa ikusgai daude aplikazioak partekatzen dituzten erabiltzaileentzat.
Konexio horietarako erabilitako autentifikazio-metodoa esplizitua edo inplizitua izan daiteke. Konexio hori esplizituki edo inplizituki partekatzen dela ere esan dezakegu.
- Esplizituki partekatutako konexioak esan nahi du aplikazioaren azken erabiltzaileak SQL Server-en autentifikatu behar duela bere kredentzial esplizituekin. Normalean, autentifikazio hau Microsoft Entra edo Windows autentifikazioaren esku-astintzearen zati gisa gertatzen da. Erabiltzailea ez da konturatzen autentifikazioa noiz gertatzen den.
- Inplizituki partekatutako konexioak esan nahi du erabiltzaileak aplikazioaren sortzaileak datu-iturrira konektatzeko eta autentifikatzeko erabili zituen kontuaren kredentzialak inplizituki erabiltzen dituela aplikazioa sortzen ari den bitartean. Azken erabiltzailearen kredentzialak ez dira autentifikatzeko erabiltzen. Azken erabiltzaileak aplikazioa exekutatzen duen bakoitzean, egileak aplikazioa sortu zuen kredentzialak erabiltzen ditu.
- Inplizituki partekatutako konexio segurua aplikazioaren azken erabiltzaileak aplikazioaren sortzaileak datu-iturrira konektatzeko eta autentifikatzeko erabili zituen eszenatoki bati egiten dio erreferentzia. Horrek esan nahi du azken erabiltzailearen kredentzialak ez direla autentifikatzeko erabiltzen. Horren ordez, erabiltzaileak aplikazioa exekutatzen duenean, aplikazioaren egileak sortu zituen kredentzialak erabiltzen ditu. Garrantzitsua da kontuan hartzea azken erabiltzaileari ez zaiola konexiorako sarbide zuzenik ematen, eta aplikazioak ekintza eta taula multzo mugatu baterako sarbidea soilik uzten duela.
Lau konexio-autentifikazio mota hauek erabil daitezke SQL Server Power Apps-entzat:
| Autentifikazio mota | Power Apps-en konexio-metodoa |
|---|---|
| Microsoft Entra integratua | Esplizituki |
| SQL zerbitzariaren autentifikazioa | Inplizitua / Segurua Inplizitua |
| Windowsen autentifikazioa | Inplizitua / Segurua Inplizitua |
| Windows-en autentifikazioa (partekatu gabea) | Esplizituki |
Konexio inplizituak partekatzeko arriskuak
Aplikazio berri guztiek automatikoki erabiltzen dituzte konexio inplizitu seguru berriak. Hala ere, "konexio inplizituak" zaharragoak erabiltzen dituzten aplikazioekin, bai aplikazioa bai bere konexioak azken erabiltzaileei hedatzen zaizkie, horrek esan nahi du azken erabiltzaileek konexio horietan oinarritutako aplikazio berriak sor ditzaketela.
Egile batek konexio inplizitu seguruak erabiltzen dituenean, esan nahi du ez dagoela konexiorik partekatzen eta azken erabiltzaileak ez duela konexio-objektua jasotzen. Horrek azken erabiltzaile batek aplikazio berri bat sortzeko konexioa berrerabiltzeko arriskua ezabatzen du. Horren ordez, aplikazioak proxy konexio batekin funtzionatzen du, aplikazioa ezagutzen duena eta aplikazio zehatz horrekin soilik komunikatzen dena. Proxy konexioak ekintza mugatuak ahalbidetzen ditu (sortu, irakurri, eguneratu, ezabatu) eta aplikazioko taula zehatzetarako sarbidea, aplikazioa argitaratzen denean definitzen direnak. Beraz, baimendutako ekintzak eta sarbidea soilik ematen zaizkio azken erabiltzaileari.
Konexio inplizitu sinpleak konexio-objektu bat azken erabiltzaileari banatzen dio. Adibidez, erabiltzaileek ikusi nahi ez dituzun datuak iragazten dituen aplikazio bat sortzen baduzu. Filtratutako datuak datu-basean daude. Baina konfiguratu duzun iragazkian oinarritzen zara azken erabiltzaileek datu jakin batzuk ikusiko ez dituztela ziurtatzeko.
Berriro ere, estilo zaharreko konexio inplizitu sinpleekin, aplikazioa zabaldu ondoren, azken erabiltzaileek zure aplikazioarekin zabaldutako konexioa erabil dezakete sortzen dituzten aplikazio berrietan. Aplikazio berrietan, erabiltzaileek zure aplikazioan iragazi dituzun datuak ikus ditzakete. Garrantzitsua da konexio inplizitu seguru berriak erabiltzea.
Garrantzitsua da
Behin inplizituki partekatutako konexio zaharrago bat azken erabiltzaileei zabaltzen zaien, partekatu duzun aplikazioan ezarri dituzun murrizketak (hala nola iragazkiak edo irakurketa soilik sarbidea) jada ez dira baliozkoak azken erabiltzaileek sortzen dituzten aplikazio berrientzat. Azken erabiltzaileek autentifikazioak ahalbidetzen dituen eskubideak izango dituzte inplizituki partekatutako konexioaren zati gisa. Hori dela eta, aplikazio bat konexio inplizitu seguruak erabiltzeko bihurtzen duzunean, zure aplikazioarekin partekatu dituzun konexioak ere baliogabetu behar dituzu. Administratzaileek inplizituki partekatutako konexioak dituzten aplikazioen txostena lor dezakete COE tresna-kitarekin.
Bezeroen eta zerbitzariaren segurtasuna
Ezin duzu datuen segurtasunean fidatu iragazkien edo bezeroaren aldeko beste eragiketa batzuen bidez segurua izateko. Datuen iragazki segurua eskatzen duten aplikazioek ziurtatu behar dute erabiltzailearen identifikazioa eta iragazkia zerbitzarian gertatzen direla.
Erabili Microsoft Entra ID bezalako zerbitzuak aplikazioetan diseinatutako iragazkietan oinarritu beharrean, erabiltzaileen identitatea eta segurtasuna kontuan hartuta. Konfigurazio honek zerbitzariaren aldeko iragazkiek espero bezala funtzionatzen dutela ziurtatzen du.
Ondorengo ilustrazioek azaltzen dute nola desberdintzen diren aplikazioen barruko segurtasun ereduak bezeroaren eta zerbitzariaren aldeko segurtasun ereduen artean.
Bezeroaren segurtasun-aplikazio eredu batean, [1] erabiltzailea bezeroaren aldeko aplikazioan soilik autentifikatzen da. Ondoren, [2] aplikazioak zerbitzuaren informazioa eskatzen du, eta [3] zerbitzuak informazioa itzultzen du datuen eskaeran oinarrituta soilik.
Zerbitzariaren aldeko segurtasun eredu batean, [1] erabiltzailea lehenik eta behin autentifikatzen da zerbitzuan, erabiltzailea zerbitzuak ezaguna izan dadin. Ondoren, [2] aplikaziotik dei bat egiten denean, zerbitzuak [3] uneko erabiltzailearen identitate ezaguna erabiltzen du datuak behar bezala iragazteko eta [4] datuak itzultzen ditu.
Goian deskribatutako partekatze-eszenatoki inplizituak bi eredu horien konbinazioa dira. Erabiltzaileak Power Apps zerbitzuan saioa hasi behar du Microsoft Entra kredentzialak erabiliz. Portaera hau zerbitzariaren segurtasun aplikazioaren eredua da. Erabiltzailea Microsoft Entra identitatea erabiltzen du zerbitzuan. Hori dela eta, aplikazioa Power Apps-ek aplikazioa formalki partekatu duen erabiltzaile multzora mugatzen da.
Hala ere, SQL Server-ekiko konexio partekatu inplizitua bezeroaren segurtasun aplikazioaren eredua da. SQL Server-ek erabiltzaile-izen eta pasahitz zehatz bat erabiltzen duela bakarrik daki. Bezeroaren aldeko edozein iragazki, adibidez, erabiltzaile izen eta pasahitz bera erabiliz aplikazio berri batekin saihestu daiteke.
Zerbitzariaren aldeko datuak modu seguruan iragazteko, erabili SQL Server-en segurtasun ezaugarri integratuak, hala nola errenkada mailako segurtasuna errenkaden segurtasuna , eta erabiltzaile zehatz batzuei objektu zehatz batzuei (zutabeei, esaterako) baimenak ukatzea . Ikuspegi honek Microsoft Entra erabiltzailearen identitatea erabiltzen du zerbitzariaren datuak iragazteko.
Lehendik dauden zerbitzu korporatibo batzuek ikuspegi bat erabili dute, non erabiltzailearen identitatea negozioko datu geruza batean harrapatzen den, Microsoft Dataverse-k egiten duen modu berean. Kasu honetan, negozio-geruzak SQL Server-en errenkada mailako segurtasuna erabil dezake edo ez, eta ezaugarriak zuzenean ukatu ditzake. Hala ez bada, askotan segurtasuna gaitzen da gordetako prozedurak edo ikuspegiak erabiliz.
Negozio-geruzak (zerbitzariaren aldean) Microsoft Entra erabiltzaile ezaguna erabiltzen du biltegiratutako prozedura bat SQL Server nagusi gisa deitzeko eta datuak iragazteko. Hala ere, Power Apps-ek ez du gordetako prozedurekin konektatzen. Negozio-geruza batek Microsoft Entra identitatea SQL Server nagusi gisa erabiltzen duen ikuspegi bat ere deitu dezake. Kasu honetan, erabili Power Apps ikuspegietara konektatzeko, datuak zerbitzariaren aldean iragazi daitezen. Erabiltzaileei ikuspegiak soilik erakusteak Power Automate fluxuak behar ditu eguneratzeetarako.