alex55555novexelfА например не надо. Ну вот не надо и что тогда?
Тогда задача не решена. Бизнес недоволен
novexelfПока что вы хотите рассказать, что в некотором подходе только минусы, "ок" - путь по вашему будет так.
Это не мой личный подход и минусы есть объективно. Но не "только минусы", это уже ваш личный подход.

Не решена не существующая задача :-)
И бизнес недоволен :-)

Это две разных задачи, в одной нужно, в другой нет или так не бывает???
Так что нет тут недовольного бизнеса.

Более того, озвученной задачи от бизнеса. Поэтому можно вот так просто говорить, а если нужно ХХХ, а потом вдруг понадобится УУУ, а потом может быть нужно ЗЗЗ.

alex55555novexelfЧто должен сделать пользователь галочками?
И как это волшебство реализуется? (в 3х звенках)
Юзер входит в софтину и нащёлкивает галочки для других юзеров. Тёте Мане разрешить ФИО, но запретить все остальные поля, плюс ограничить по грейду клиента. Секретарше Даше разрешить видеть одно поле из плана посещений клиентов и менять второе, план так же ограничить только клиентами с оборотом менее миллиона. Как-то так.

В трёхзвенке всю эту логику легко и безопасно реализуем на сервере приложений. Никаких гемороев с администрированием БД. Вообще никаких. Даже лезть в администрёж не надо. ДБА больше об оптимизации думает, чем о правах, что полезно для общей производительности. Базу можно любую , хоть файловую типа dbf, к ней юзер со своим паролем никак доступ не получит. Потому что пароль у юзера - от приложения, а не от базы. А конвертация прав доступа осуществляется логикой внутри недоступного юзеру сервера приложений. К базе вообще один канал от апп.сервера, и всё. Базу видит только апп сервер или ДБА. Простор для любых DMZ и прочих игрищ - огромный. Безопасность гарантируется не только логикой апп.сервера, но и простотой реализации системы, где присутствует лишь один канал до базы, и в такой конфигурации просто сложно накосячить, в отличии от 2-звена.

Ну там где юзер входит - это пока не очень интересно, к этом позже.
Расскажите для начала как это реализуется. Должен же кто-то что-то сделать. Код какой-то написать или есть готовое решение и код писать уже не надо. Магия может быть какая-то.

Ключевое слово реализуем , а легко и безопасно на самом деле спорное утверждение. Покажите как это.

alex55555maytonФактически речь идёт о том что админ комплекса заходи в админку и выдает права пользователям (ролям или группам)
как будет угодно.

Верно?
Не совсем. Это будет человек от бизнеса. Например - начальник отдела. На сколько он там админ - никто не знает. Есть вероятность, что вообще не админ ни разу.

А кто-то вообще спрашивал, чего они хотят и как?
Обычно ничего подобного они не хотят.
Не хочет начальник заниматься работой исполнителя.
Админ тыкать ничего не хочет.
Админ хочет, чтобы в Active Directory создался новый пользователь по инициативе кадровой подсистемы и там же ему выдались некоторые роли и далее все приложение сквозняком понимали что можно. Этого же хочет безопасник.

Представьте ситуацию, где нужно 2000 человек накликать что-то...

Лучше спросить как хотят.

alex55555maytonНу вот простой пример https://oracle-base.com/articles/8i/virtual-private-databases
Ну так там как раз как я и говорю - всё предлагается писать на ораклячем диалекте ХП. То есть я давно говорил - на ХП возможно. Но проблема в том, что народ на ХП не пишет. И неспроста. ХП сложнее получаются, цена дороже, поддержка тоже, ошибок больше, сроки горят и т.д.

А вы на чем предпочитаете писать? Спорим, что есть люди, которые так же скажут про ваши предпочтения.
Им тоже будет казаться, что в этом проблема, что на это народ не пишет. Что это неспроста. Что получается сложнее, чем на том, что знают они, что дороже и ошибок больше, и сроки горят....

Инопланетяне пишут PL/SQL, у меня их вон 5 писателей сидит...
И еще 5 инопланетян на T-SQL....

Повеселили :-)
Ну прям повеселили :-)