Определяемые пользователем роли

Это роли, которые позволяют группировать пользователей и назначать каждой группе конкретную функцию безопасности. Эти роли зависят от базы данных, в то время как роли уровня сервера зависят от сервера.

Существует два типа ролей уровня базы данных, определяемых пользователем.

Стандартная роль

Назначение этой роли – логически сгруппировать пользователей в соответствии с их правами доступа. Существует несколько типов уровней безопасности, рассчитанных на три категории пользователей.

· Опытный пользователь (Power user).Может выполнять в базе данных любые операции. Этой группе пользователей обычно дается разрешение на выполнение операторов SELECT/INSERT/DELETE/ UPDATE во всех таблицах базы данных.

· Обычный пользователь (Normal user).Может модифицировать некоторые типы данных. Этой группе пользователей обычно дается разрешение на выполнение в одних таблицах базы данных операторов SELECT/INSERT/DELETE/UPDATE, а в других таблицах – только оператора SELECT.

· Неквалифицированный пользователь (Bonehead user).Ему не разрешается модифицировать никакие типы данных. Из-за отсутствия квалификации у этих пользователей администраторы часто беспокоятся о том, что они могут все испортить. Этой группе обычно дается разрешение на выполнение только оператора SELECT.

В таблице 5 приведена примерная схема распределения ролей между пользователями, реализованная на основе описанного выше принципа/

Таблица 5. Пример распределения ролей

Роли уровня приложения

Это особый тип роли, который позволяет пользователю брать на себя характеристики некоторой роли. Когда пользователь принимает роль уровня приложения, он берет на себя выполнение новой роли и временно отказывается от всех других назначенных ему прав доступа к конкретной базе данных. Но, возникает вопрос: зачем пользователю брать на себя новую роль? Дело в том, что, когда роль уровня приложения активна, пользователь может выдавать запросы в базу данных и выполнять обработку данных, контролируя этот процесс на высоком уровне. А когда роль неактивна, пользователь ограничен стандартными правами доступа к базе данных.

Ниже перечислены различия между ролями уровня приложения и стандартными ролями:

· Роли уровня приложения могут быть защищены паролем, а стандартные роли, определяемые пользователем, – не могут. Если роль уровня приложения защищена паролем, то для ее активации необходимо ввести пароль.

· И роли уровня приложения, и стандартные роли определяются пользователем и связаны с конкретной базой данных.

· Роли уровня приложения не назначаются пользователям непосредственно. Пользователи просто активизируют роль в пределах конкретной базы данных.

Роль уровня приложения имеет применять в среде, где пользователи делают запросы и модифицируют данные с помощью клиентского приложения, созданного независимым пользователем.

Создание учетных записей

Безопасность в пределах SQL Server 2012 with Tools обеспечивается с помощью нескольких объектов безопасности. Самым верхним уровнем здесь являются учетные записи, которые идентифицируют для сервера пользователя SQL Server 2012 with Tools. Учетные записи пользователей SQL Server создаются вручную. Для создания учетных записей вручную необходимо выполнить ряд действий (рис. 35).

1) В SQL Server Manager надо щелкнуть на знаке “плюс” (+), расположенном рядом с именем сервера на котором содержится учетная запись.

2) После этого щелкнуть на знаке “плюс” (+), который находится рядом с папкой Безопасность.

3) Затем щелкнуть правой кнопкой мыши на пиктограммеУчетные данные. Из контекстного меню выбрать Создать учетные данные.

Рис. 35. Создание учетной записи

4) После этого на экране появится диалоговое окно SQL Server Login Properties – New Login (Свойства учетных записей SQL Server – создание учетных записей). В этом окне вводим все необходимые данные (рис. 36).

Рис. 36. Ввод данных

5) Затем нужно выбрать вкладку Data Access, а в ней выбрать нужную БД и тип пользователя (в данном случае db_datareader (чтение данных)).

6) Далее, нужно перейти в область БД, для которой создается учетная запись. Там, в разделе Users появился созданный пользователь Belobj.

Нажимаем на значок Belobj и получаем окно со свойствами этого пользователя:

В качестве роли для этого пользователя может быть назначена любая роль из списка. В данном случае назначены роли public (роль по умолчанию, к которой принадлежат все пользователи базы данных) и роль db_datareader (чтение данных).

7) В клиентской части Access при соединении с серверной частью необходимо указать вновь созданного пользователя, его пароль и выбрать базу данных, в которой создана учетная запись для этого пользователя. Теперь пользователь будет работать с таблицами в соответствии с указанными для него правами на них.

Рис. 37. Свойства связи с данными

Теперь, с подключенной таким образом клиентской частью базы данных сможет работать только пользователь Belobj и только после введения своего личного пароля. Но этот пользователь сможет работать с базой данных только в соответствии с определенными для него правами, т.е. сможет выполнять в таблицах только те операторы, на выполнение которых он имеет право.

Таким образом, обеспечение безопасности базы данных с помощью создания учетных записей пользователей – это наиболее удобный и надежный способ защиты данных от несанкционированного к ним доступа и внесения ненужных изменений