Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server in Windows Azure SQL Managed Instance
Belangrijk
Master Data Services (MDS) wordt verwijderd in SQL Server 2025 (17.x). MdS wordt nog steeds ondersteund in SQL Server 2022 (16.x) en eerdere versies.
Gebruik in Master Data Services (MDS) beveiliging om ervoor te zorgen dat gebruikers alleen toegang hebben tot de specifieke hoofdgegevens die nodig zijn voor hun taken en om te voorkomen dat gebruikers toegang hebben tot gegevens die niet voor hen beschikbaar moeten zijn.
U kunt ook beveiligingsinstellingen gebruiken om iemand een beheerder van een specifiek model en functioneel gebied te maken. U kunt iemand bijvoorbeeld de mogelijkheid geven om versies van het klantmodel te maken of hen de mogelijkheid geven om beveiligingsmachtigingen in te stellen.
Master Data Services-beveiliging is gebaseerd op lokale of AD-domeingebruikers en -groepen (Active Directory). Met MDS-beveiliging kunt u een gedetailleerd detailniveau gebruiken bij het bepalen van de gegevens die een gebruiker kan openen. Vanwege de granulariteit kan beveiliging eenvoudig ingewikkeld worden. Wees voorzichtig bij het toewijzen van machtigingen aan overlappende gebruikers en groepen. Zie Overlappende gebruikers- en groepsmachtigingen voor meer informatie.
U kunt beveiligingstoegang toewijzen in het functionele gebied Gebruikers- en groepsmachtigingen van de Master Data Manager-webtoepassing of met behulp van de webservice.
Typen gebruikers
Er zijn twee typen gebruikers in Master Data Services:
Gebruikers die toegang hebben tot gegevens in het functionele gebied explorer .
Gebruikers die de mogelijkheid hebben om beheertaken uit te voeren in andere gebieden dan Explorer. Deze gebruikers worden beheerders genoemd.
Beveiliging instellen
Als u een gebruiker of groep toestemming wilt geven voor toegang tot gegevens of functionaliteit in MDS, wijst u het volgende toe:
Functionele gebiedsmachtigingen, waarmee wordt bepaald welke van de vijf functionele gebieden van de gebruikersinterface een gebruiker kan openen.
Modelobjectmachtigingen, waarmee de kenmerken worden bepaald waartoe een gebruiker toegang heeft, en het type toegang (lezen, maken en bijwerken) dat de gebruiker heeft voor deze kenmerken. U kunt ook beheerdersmachtigingen toewijzen op modelniveau.
Optioneel, hiërarchielidmachtigingen, die bepalen welke leden een gebruiker kan openen, en het type toegang (lezen, bijwerken en verwijderen) dat de gebruiker aan deze leden heeft.
Wanneer u machtigingen toewijst aan kenmerken en leden, bepalen de machtigingen elkaar en regels welke machtiging voorrang heeft. Zie Hoe machtigingen worden bepaald voor meer informatie.
Beveiliging in de invoegtoepassing voor Excel
De beveiligingsset in de Master Data Manager-webtoepassing is ook van toepassing op de invoegtoepassing voor Excel. Gebruikers kunnen alleen gegevens bekijken en ermee werken die ze mogen openen. Beheerders kunnen beheertaken uitvoeren.
Het enige nadeel is dat alle beveiliging die is toegewezen in Master Data Manager pas van kracht wordt in Excel nadat een interval van 20 minuten is verstreken. De MdsMaximumUserInformationCacheInterval instelling definieert dit interval in het web.config bestand. Als u het interval wilt wijzigen, wijzigt u de instelling en start u Internet Information Services (IIS) opnieuw op.
Beveiligingsrisico's in Master Data Services
In deze sectie vindt u een overzicht van mogelijke beveiligingsrisico's met betrekking tot Master Data Services (MDS). Bepaalde verouderde hulpprogramma's die zijn gekoppeld aan buiten gebruik gestelde functies kunnen beveiligingsproblemen veroorzaken en het product zelf kan inherente beveiligingsrisico's bevatten. De volgende informatie wordt verstrekt, zodat u passende maatregelen kunt nemen.
| Title | Description | Aanbeveling |
|---|---|---|
| Autorisatiemodel | MDS maakt gebruik van een aangepast autorisatiemodel waarbij toegangsbeheer wordt afgedwongen op toepassingsniveau. Als een aanvaller de interne gebruikerslijst kan manipuleren of misbruik kan maken van een fout in de autorisatielogica, kunnen ze volledige toegang krijgen tot hoofdgegevens. | Als u de impact van manipulatie of autorisatiefouten in de gebruikerslijst wilt verminderen, geeft u een overzicht van de risico's in het aangepaste autorisatiemodel en geeft u een overzicht van de beveiligingsmaatregelen, zoals netwerkisolatie, strikte serviceaccounts met minimale bevoegdheden en uitgebreide controle. |
| Acceptatie van verouderde technologie | MDS wordt verwijderd uit SQL Server 2025 (17.x) en eerdere versies ontvangen alleen beveiligingsupdates, waardoor het risico op beveiligingsproblemen en operationele problemen na verloop van tijd wordt verhoogd. Een belangrijk voorbeeld is de afhankelijkheid van MDS voor ActiveX. Hiervoor is Internet Explorer vereist. Dit wordt officieel buiten gebruik gesteld en wordt niet meer ondersteund. | Plan de migratie naar ondersteunde platforms vóór het einde van de levensduur en vermijd nieuwe implementaties van MDS. Voor bestaande installaties minimaliseert u de blootstelling door de toegang tot verouderde onderdelen (zoals ActiveX en Internet Explorer) te beperken, waar mogelijk moderne browsers te gebruiken en compenserende controles zoals netwerkisolatie en verbeterde bewaking te implementeren. Evalueer alternatieve oplossingen voor master data management (MDM), zoals Microsoft Purview of partner MDM-platformen, en ontwikkel een gefaseerde migratiestrategie om bedrijfscontinuïteit en -beveiliging te garanderen. |
| Aanvallen op manipulatie van gegevens en integriteitsaanvallen | Een slechte actor met toegang tot Master Data Services kan hoofdgegevens wijzigen, wat leidt tot downstreambeschadiging in enterprise resource planning (ERP), customer relationship management (CRM) of rapportagesystemen. | Om het risico op manipulatie van gegevens en het mogelijke effect ervan te beperken, zijn hier enkele mogelijke suggesties: transactielogboekregistratie en versiebeheer implementeren, integriteitscontroles met afstemmingsprocessen, op rollen gebaseerde toegangsbeheer met goedkeuringswerkstromen voor wijzigingen en robuuste back-up- en herstelprocedures. |
| Gegevensversleuteling en -filtering | MDS kan gevoelige gegevens opslaan (bijvoorbeeld klantrecords, werknemersgegevens). Als toegangsbeheer wordt overgeslagen, kunnen deze gegevens worden geëxfileerd. | MDS-compatibiliteit met SQL Server-versleutelingsopties is beperkt. Always Encrypted kan bijvoorbeeld MDS-regels en -hiërarchieën breken, terwijl Transparent Data Encryption (TDE) alleen data-at-rest beveiligt. Voor betere beveiliging schakelt u TDE in, past u waar mogelijk dynamische gegevensmaskering toe en configureert u SQL Server-controle om de toegang te bewaken. Vermijd het opslaan van zeer gevoelige gegevens, tenzij deze beveiligingen zijn ingesteld. Voor geavanceerde governance kunt u overwegen om platforms te migreren met ingebouwde beveiliging, zoals Microsoft Purview met MDM-oplossingen van partners. |
| Gegevensopname | MDS ondersteunt gegevensopname via verschillende middelen, waaronder faseringstabellen. Zie Overzicht: Gegevens importeren uit tabellen voor meer informatie. In dit geval kunnen er enkele beveiligingsproblemen optreden. | Wanneer u faseringstabellen gebruikt voor het importeren van gegevens in Master Data Services, dwingt u strikte controles af om beveiligingsproblemen te voorkomen. Geef de voorkeur aan pull-gebaseerde opname voor gecentraliseerd beheer, vereist unieke service-identiteiten met minimale bevoegdheden en valideer schema' en bedrijfsregels voordat u gegevens doorvoert. Zorg voor volledige controle door alle opnamegebeurtenissen te registreren en inzenders te isoleren met behulp van afzonderlijke faseringsschema's of tabellen om kruisbesmetting te voorkomen. |
Gerelateerde taken
| Taakbeschrijving | Article |
|---|---|
| Maak een gebruiker met volledige machtigingen voor een model. | Een modelbeheerder maken |
| Voeg een Active Directory-groep toe aan Master Data Services. Deze stap is de eerste in het verlenen van een groepsmachtiging voor toegang tot gegevens in de Master Data Services-webtoepassing. | Een groep toevoegen |
| Wijs machtigingen toe aan een functioneel gebied van de Master Data Services-webtoepassing. | Machtigingen voor functioneel gebied toewijzen |
| Wijs machtigingen toe aan kenmerkwaarden door machtigingen toe te wijzen aan modelobjecten. | Machtigingen voor modelobject toewijzen |
| Wijs machtigingen toe aan lidwaarden door machtiging toe te wijzen aan hiërarchieknooppunten. | Machtigingen voor leden van een hiërarchie toewijzen |
Verwante inhoud
- Beheerders (Master Data Services)
- Gebruikers en groepen (Master Data Services)
- Machtigingen voor functionele gebieden (Master Data Services)
- Toegangsrechten voor modelobjecten (Master Data Services)
- Hiërarchielidmachtigingen (Master Data Services)
- Hoe machtigingen worden bepaald (Master Data Services)