ID およびアクセス制御 (レプリケーション)
認証とは、あるエンティティ (ここでは、一般的にコンピュータを指します) によって、別のエンティティ (プリンシパルとも呼ばれます。一般的に別のコンピュータまたはユーザーを指します) が自称するエンティティであるかどうかを確認するプロセスです。承認とは、認証されたプリンシパルにリソース (ファイル システムのファイルやデータベースのテーブルなど) へのアクセスを認めるプロセスです。
レプリケーション セキュリティでは、認証と承認を使用して、レプリケートされたデータベース オブジェクトへのアクセスや、レプリケーション処理に関係するコンピュータやエージェントへのアクセスを制御します。これは、以下の 3 つのメカニズムによって実現されます。
エージェント セキュリティ
レプリケーション エージェントのセキュリティ モデルでは、レプリケーション エージェントの実行や接続に使用されるアカウントをきめ細かく制御できます。エージェント セキュリティ モデルの詳細については、「レプリケーション エージェントのセキュリティ モデル」を参照してください。エージェントのログインとパスワードの設定については、「レプリケーションのログインとパスワードの管理」を参照してください。
管理ロール
レプリケーションのセットアップ、メンテナンス、および処理に対して適切なサーバー ロールやデータベース ロールが使用されていることを確認します。詳細については、「レプリケーションのセキュリティ ロール要件」を参照してください。
パブリケーション アクセス リスト (PAL)
パブリケーションへのアクセスは、PAL を通じて許可されます。PAL は、Microsoft Windows のアクセス制御リストによく似た機能を備えています。サブスクライバがパブリッシャやディストリビュータに接続し、パブリケーションへのアクセスを要求すると、エージェントによって渡された認証情報が PAL に対して確認されます。PAL の詳細および推奨事項については、「パブリッシャのセキュリティ確保」を参照してください。
パブリッシュされたデータのフィルタ選択
レプリケーションでは、レプリケートされたデータやオブジェクトへのアクセスを認証と承認を使用して制御する以外に、列のフィルタ選択と行のフィルタ選択という 2 つのオプションを使用して、サブスクライバで利用できるようにするデータを制御できます。フィルタ選択の詳細については、「パブリッシュされたデータのフィルタ選択」を参照してください。
アーティクルを定義する際には、パブリケーションに必要な列のみをパブリッシュして、不要な列や機密データを含む列を除外することができます。たとえば、Adventure Works データベースの Customer テーブルを現場の販売担当者にパブリッシュする際には、経営陣以外には関係のない AnnualSales 列を除外できます。
パブリッシュされたデータをフィルタ選択することによって、データへのアクセスを制限し、サブスクライバで使用できるデータを指定できます。たとえば、Customer テーブルをフィルタ選択して、ShareInfo 列の値が "yes" の顧客に関する情報のみをパートナー企業に提供することなどが可能です。マージ レプリケーションにおいて HOST_NAME() を含むパラメータ化されたフィルタを使用する場合は、セキュリティ上の留意事項があります。詳細については、「パラメータ化された行フィルタ」の「HOST_NAME() によるフィルタ選択」を参照してください。