Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
SQL Server на Windows Управляемый экземпляр Azure SQL
Это важно
Службы Master Data Services (MDS) удаляются в SQL Server 2025 (17.x). Мы продолжаем поддерживать MDS в SQL Server 2022 (16.x) и более ранних версиях.
В службах Master Data Services (MDS) используйте безопасность, чтобы пользователи могли получать доступ только к определенным главным данным, необходимым для их заданий, и запретить пользователям получать доступ к данным, которые не должны быть доступны им.
Вы также можете использовать параметры безопасности, чтобы сделать кого-то администратором определенной модели и функциональной области. Например, вы можете предоставить кому-то возможность создавать версии модели клиента или предоставлять им возможность задавать разрешения безопасности.
Безопасность Служб Master Data Services основана на локальных или доменных пользователях и группах Active Directory (AD). Система безопасности MDS позволяет создавать разные уровни детализации при определении данных, к которым пользователь будет иметь доступ. Из-за детализации безопасность может стать сложной. Используйте осторожность при назначении разрешений для перекрывающихся пользователей и групп. Дополнительные сведения см. в разделе "Перекрывающиеся разрешения пользователей и групп".
Вы можете назначить доступ к безопасности в функциональной области разрешений пользователя и группы веб-приложения Master Data Manager или с помощью веб-службы.
Типы пользователей
Существует два типа пользователей в службах Master Data Services:
Пользователи, обращающиеся к данным в функциональной области Обозревателя .
Пользователи, которые имеют возможность выполнять административные задачи в других областях, кроме обозревателя. Эти пользователи называются администраторами.
Настройка безопасности
Чтобы предоставить пользователю или группе разрешение на доступ к данным или функциям в MDS, назначьте:
Разрешения функциональной области, определяющие, какие из пяти функциональных областей пользовательского интерфейса пользователь может получить к ней доступ.
Разрешения объектов модели, определяющие атрибуты, к которым пользователь может получить доступ, а также тип доступа (чтение, создание и обновление), к которым пользователь имеет эти атрибуты. Вы также можете назначить разрешения администратора на уровне модели.
Необязательно разрешения участников иерархии, определяют, к каким участникам пользователь может получить доступ и какой тип доступа (чтение, обновление и удаление) пользователь имеет к этим участникам.
При назначении разрешений для атрибутов и элементов приоритет разрешений определяется пересечением разрешений и правилами. Дополнительные сведения см. в разделе о том, как определяются разрешения.
Безопасность для надстройки Excel
Настройки безопасности в веб-приложении Master Data Manager также применяются к надстройке для Excel. Пользователи могут просматривать и работать только с данными, которыми у них есть разрешение на доступ. Администраторы выполняют административные задачи.
Единственное предупреждение заключается в том, что все настройки безопасности, назначенные в Master Data Manager, не вступают в силу в Excel, пока не пройдет 20 минут. Параметр MdsMaximumUserInformationCacheInterval определяет этот интервал в web.config файле. Чтобы изменить интервал, измените параметр и перезапустите службы IIS.
Риски безопасности в службах Master Data Services
В этом разделе описываются потенциальные риски безопасности, связанные со службами Master Data Services (MDS). Некоторые устаревшие инструменты, связанные с устаревшими функциями, могут привести к уязвимостям, и сам продукт может содержать встроенные риски безопасности. Приведены следующие сведения, чтобы можно было принять соответствующие меры.
| Название | Description | Recommendation |
|---|---|---|
| Модель авторизации | MDS использует пользовательскую модель авторизации, в которой управление доступом применяется на уровне приложения. Если злоумышленник может управлять внутренним списком пользователей или использовать недостаток в логике авторизации, он может получить полный доступ к главным данным. | Чтобы уменьшить влияние ошибок в списке пользователей или авторизации, обобщайте риски в пользовательской модели авторизации и очертите меры защиты, такие как изоляция сети, строгие учетные записи служб с минимальными привилегиями и комплексный аудит. |
| Внедрение устаревшей технологии | MDS будет исключён из SQL Server 2025 (17.x), а более ранние версии будут получать только обновления системы безопасности, что со временем увеличивает риск возникновения уязвимостей и эксплуатационных проблем из-за отсутствия полноценной поддержки. Ключевым примером является зависимость MDS от ActiveX, которая требует Internet Explorer, которая официально прекращена и больше не поддерживается. | Запланируйте миграцию на поддерживаемые платформы до окончания срока действия и избегайте новых развертываний MDS. Для существующих установок свести к минимуму воздействие путем ограничения доступа к устаревшим компонентам (таким как ActiveX и Internet Explorer), используйте современные браузеры, где это возможно, и реализуйте компенсирующие элементы управления, такие как сетевая изоляция и расширенный мониторинг. Оцените альтернативные решения для управления главными данными (MDM), таких как Microsoft Purview или партнерские платформы MDM, и разработайте поэтапную стратегию миграции, чтобы обеспечить непрерывность бизнес-процессов и безопасность. |
| Атаки на изменение данных и целостность данных | Недопустимый субъект с доступом к службам Master Data Services может изменять основные данные, что приводит к повреждению нижестоящего уровня в планировании корпоративных ресурсов (ERP), управлении отношениями клиентов (CRM) или системах отчетов. | Чтобы снизить риск изменения данных и его потенциального эффекта, ниже приведены некоторые возможные предложения: реализация ведения журнала транзакций и управления версиями, проверка целостности с процессами выверки, управление доступом на основе ролей с рабочими процессами утверждения изменений и надежными процедурами резервного копирования и восстановления. |
| Шифрование данных и фильтрация | MDS может хранить конфиденциальные данные (например, записи клиентов, сведения о сотрудниках). Если управление доступом обходить, эти данные можно эксфильтровать. | Совместимость MDS с параметрами шифрования SQL Server ограничена. Например, Always Encrypted может нарушить правила и иерархии MDS, а прозрачное шифрование данных (TDE) защищает только неактивных данных. Чтобы повысить безопасность, включите TDE, примените динамическое маскирование данных, где это возможно, и настройте аудит SQL Server для мониторинга доступа. Избегайте хранения конфиденциальных данных, если эти защиты не установлены. Для сложного управления рассмотрите возможность миграции платформ со встроенной защитой, таких как Microsoft Purview, с партнерскими решениями MDM. |
| Прием данных | MDS поддерживает прием данных с помощью различных средств, включая промежуточные таблицы. Дополнительные сведения см. в разделе "Обзор: импорт данных из таблиц". В этом случае могут возникнуть некоторые проблемы безопасности. | При использовании промежуточных таблиц для импорта данных в службах Master Data Services следует применять строгие элементы управления, чтобы предотвратить проблемы с безопасностью. Предпочитайте вытягивающую модель приема данных для централизованного управления, требуйте уникальных идентификаторов служб с минимальными привилегиями и проверяйте схему и бизнес-правила перед фиксацией данных. Обеспечьте полную аудируемость путем регистрации всех событий приема данных и изоляции источников данных с использованием отдельных промежуточных схем или таблиц, чтобы избежать перекрестного влияния. |
Связанные задачи
| Описание задачи | Article |
|---|---|
| Создание пользователя, который имеет полное разрешение доступа к модели. | Создание администратора модели |
| Добавьте группу Active Directory в службы Master Data Services. Этот шаг является первым, предоставляя группе разрешение на доступ к данным в веб-приложении Master Data Services. | Добавление группы |
| Назначьте разрешение функциональной области веб-приложения Master Data Services. | Назначение разрешений функциональной области |
| Назначение разрешения для значений атрибутов путем назначения разрешения для объектов модели. | Назначение разрешений объекта модели |
| Назначение разрешения для значений элементов путем назначения разрешений для узлов иерархии. | Назначить разрешения членам иерархии |
Связанный контент
- Администраторы (службы Master Data Services)
- Пользователи и группы (службы Master Data Services)
- Разрешения функциональной области (службы Master Data Services)
- Разрешения объектов модели (службы Master Data Services)
- Разрешения члена иерархии (службы Master Data Services)
- Как определяются разрешения (службы Master Data Services)