Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A következőkre vonatkozik:
Felügyelt Windows Azure SQL-példányon futó SQL Server
Fontos
A Master Data Services (MDS) az SQL Server 2025-ben (17.x) törlődik . Továbbra is támogatjuk az MDS-t az SQL Server 2022 (16.x) és korábbi verzióiban.
A Főadat-szolgáltatásokban (MDS) a biztonság segítségével biztosíthatja, hogy a felhasználók csak a munkájukhoz szükséges főadathoz férhessenek hozzá, és megakadályozzák, hogy a felhasználók hozzáférjenek azokhoz az adatokhoz, amelyek nem lesznek elérhetők számukra.
Biztonsági beállításokat is használhat arra, hogy valaki egy adott modell és funkcionális terület rendszergazdája legyen. Megadhatja például, hogy valaki létrehozhatja az ügyfélmodell verzióit, vagy beállíthatja a biztonsági engedélyeket.
A Master Data Services biztonsági rendszere a helyi vagy Active Directory (AD) tartományi felhasználókon és csoportokon alapul. Az MDS-biztonság lehetővé teszi, hogy részletes részletességi szintet használjon a felhasználó által elérhető adatok meghatározásakor. A részletesség miatt a biztonság könnyen bonyolulttá válhat. Óvatosan rendeljen engedélyeket átfedésben lévő felhasználókhoz és csoportokhoz. További információ: Átfedésben lévő felhasználói és csoportengedélyek.
Biztonsági hozzáférést rendelhet hozzá a Master Data Manager webalkalmazás Felhasználói és csoportengedélyek funkcionális területén vagy a webszolgáltatás használatával.
Felhasználók típusai
A Főadat-szolgáltatásokban kétféle felhasználó létezik:
Azok a felhasználók, akik az Explorer működési területén férnek hozzá az adatokhoz.
Azok a felhasználók, akik az Exploreren kívül más területeken is végezhetnek rendszergazdai feladatokat. Ezeket a felhasználókat rendszergazdáknak nevezzük.
A biztonság beállítása
Ha egy felhasználónak vagy csoportnak engedélyt szeretne adni az MDS-ben lévő adatok vagy funkciók elérésére, rendelje hozzá a következőt:
Funkcionális terület engedélyei, amelyek meghatározzák, hogy a felhasználói felület öt funkcionális területe közül melyiket érheti el a felhasználó.
Modellobjektum-engedélyek, amelyek meghatározzák a felhasználó által elérhető attribútumokat, valamint azt, hogy milyen típusú hozzáféréssel (olvasás, létrehozás és frissítés) rendelkezik a felhasználó ezekhez az attribútumokhoz. Rendszergazdai engedélyeket a modell szintjén is hozzárendelhet.
Opcionálisan hierarchiatag-engedélyek, amelyek meghatározzák, hogy a felhasználó milyen tagokat érhet el, és hogy a felhasználó milyen típusú hozzáféréssel (Olvasás, Frissítés és Törlés) rendelkezik ezekhez a tagokhoz.
Amikor engedélyeket rendel az attribútumokhoz és a tagokhoz, az engedélyek keresztezik egymást, és a szabályok határozzák meg, hogy melyik engedély élvez elsőbbséget. További információ: Az engedélyek meghatározása.
Biztonság az Excel bővítményben
A Master Data Manager webalkalmazásban beállított biztonsági beállítások az Excel bővítményére is érvényesek. A felhasználók csak azokkal az adatokkal tekinthetnek meg és dolgozhatnak, amelyekhez hozzáférésük van. A rendszergazdák rendszergazdai feladatokat végezhetnek.
Az egyetlen kikötés, hogy a Master Data Managerben hozzárendelt összes biztonság csak akkor lép érvénybe az Excelben, ha egy 20 perces időköz el nem telik. A MdsMaximumUserInformationCacheInterval beállítás határozza meg ezt az időközt a web.config fájlban. Az időköz módosításához módosítsa a beállítást, és indítsa újra az Internet Information Servicest (IIS).
Biztonsági kockázatok a Master Data Servicesben
Ez a szakasz a Master Data Services (MDS) szolgáltatással kapcsolatos lehetséges biztonsági kockázatokat ismerteti. A kivezetett funkciókhoz társított örökölt eszközök biztonsági réseket okozhatnak, és maga a termék is tartalmazhat belső biztonsági kockázatokat. Az alábbi információk a megfelelő intézkedések meghozása érdekében találhatók.
| Cím | Description | Recommendation |
|---|---|---|
| Engedélyezési modell | Az MDS egyéni engedélyezési modellt használ, ahol a hozzáférés-vezérlés az alkalmazás szintjén van kényszerítve. Ha egy támadó módosíthatja a belső felhasználói listát, vagy kihasználhatja az engedélyezési logika egyik hibáját, teljes hozzáférést kaphat a fő adatokhoz. | A felhasználói listák kezelésének vagy engedélyezési hibáinak hatásának csökkentése érdekében foglalja össze az egyéni engedélyezési modell kockázatait, és vázolja fel az olyan korlátozó intézkedéseket, mint a hálózatelkülönítés, a szigorú minimális jogosultságú szolgáltatásfiókok és az átfogó naplózás. |
| Az örökölt technológia bevezetése | Az MDS törlődik az SQL Server 2025-ből (17.x), és a korábbi verziók csak biztonsági frissítéseket kapnak, ami növeli a biztonsági rések és a működési problémák kockázatát. A legfontosabb példa az MDS ActiveX-re való támaszkodása, amelyhez az Internet Explorer szükséges, amely hivatalosan ki van kapcsolva, és már nem támogatott. | Tervezze meg a támogatott platformokra való migrálást az életciklus vége előtt, és kerülje az MDS új üzembe helyezését. Meglévő telepítések esetén minimalizálja az expozíciót az örökölt összetevők (például az ActiveX és az Internet Explorer) elérésének korlátozásával, ahol lehetséges, használjon modern böngészőket, és implementáljon kompenzáló vezérlőket, például a hálózatelkülönítést és a fokozott monitorozást. Értékelje ki a fő adatkezelés (MDM) alternatív megoldásait, például a Microsoft Purview-t vagy a partner MDM-platformokat, és dolgozzon ki egy szakaszos migrálási stratégiát az üzletmenet folytonosságának és biztonságának biztosítása érdekében. |
| Adathamisítási és integritási támadások | A Főadat-szolgáltatásokhoz való hozzáféréssel rendelkező rossz szereplő módosíthatja a főadatokat, ami a vállalati erőforrás-tervezés (ERP), az ügyfélkapcsolat-kezelés (CRM) vagy a jelentéskészítési rendszerek alsóbb rétegbeli sérüléséhez vezethet. | Az adatmódosítás kockázatának és lehetséges hatásának csökkentése érdekében íme néhány megvalósítható javaslat: tranzakciónaplózás és verziószámozás implementálása, integritás-ellenőrzések egyeztetési folyamatokkal, szerepköralapú hozzáférés-vezérlés változás-jóváhagyási munkafolyamatokkal, valamint robusztus biztonsági mentési és helyreállítási eljárások. |
| Adattitkosítás és szűrés | Az MDS bizalmas adatokat (például ügyfélrekordokat, alkalmazotti adatokat) tárolhat. Ha megkerüli a hozzáférés-vezérlést, ezek az adatok kiszúrhatók. | Az SQL Server titkosítási beállításaival való MDS-kompatibilitás korlátozott. Az Always Encrypted például megszakíthatja az MDS-szabályokat és -hierarchiákat, míg a transzparens adattitkosítás (TDE) csak az inaktív adatokat védi. A nagyobb biztonság érdekében engedélyezze a TDE-t, ahol csak lehetséges, dinamikus adatmaszkolást alkalmazzon, és konfigurálja az SQL Server naplózását a hozzáférés figyelésére. Kerülje a rendkívül bizalmas adatok tárolását, kivéve, ha ezek a védelem érvényben van. A fejlett szabályozás érdekében fontolja meg a beépített védelemmel rendelkező platformokra történő átállást, például a Microsoft Purview és a partneri MDM-megoldások használatával. |
| Adatbetöltés | Az MDS különböző módokon támogatja az adatbetöltést, beleértve az előkészítési táblákat is. További információ : Áttekintés: Adatok importálása táblákból. Ebben az esetben biztonsági problémák léphetnek fel. | Ha átmeneti táblákat használ az adatimportáláshoz a Master Data Servicesben, szigorú vezérlőket kell végrehajtania a biztonsági problémák elkerülése érdekében. A központosított irányításhoz előnyben részesíti a lekéréses alapú betöltést, minimális jogosultsággal rendelkező egyedi szolgáltatásidentitásokat igényel, és az adatok véglegesítése előtt érvényesíti a sémát és az üzleti szabályokat. A teljes auditálhatóság biztosítása érdekében naplózza az összes betöltési eseményt, és külön előkészítési sémák vagy táblák használatával különítse el a közreműködőket, hogy elkerülje a keresztszennyeződést. |
Kapcsolódó tevékenységek
| Tevékenység leírása | Cikk |
|---|---|
| Hozzon létre egy olyan felhasználót, aki teljes engedéllyel rendelkezik egy modellhez. | Modelladminisztrátor létrehozása |
| Active Directory-csoport hozzáadása a Főadat-szolgáltatásokhoz. Első lépésként engedélyt ad egy csoportnak a Master Data Services webalkalmazás adatainak eléréséhez. | Csoport hozzáadása |
| Engedélyek hozzárendelése a Master Data Services-webalkalmazás egy funkcionális területéhez. | Funkcionális terület engedélyeinek hozzárendelése |
| Az attribútumértékekhez való engedélyek hozzárendelése a modellobjektumok engedélyeinek hozzárendelésével történik. | Modellobjektum-engedélyek hozzárendelése |
| Engedélyek hozzárendelése tagértékekhez a hierarchiacsomópontokhoz való engedély hozzárendelésével. | Hierarchiatag-engedélyek hozzárendelése |