SQL-Programmer от BMC
Embarcadero.
Quest Central

Пишити письма.

>1. Правильным ли считается подход когда, вся логика-приложения реализуется >(декларативно и процедурно) на Севере БД DB2?
>2. Если в другом месте, то как правило где (например, WebSphere) и почему такой >подход используется?

Use the right tool. В архитектуре системы на мой взгляд не должно быть крайностей.
Только SQL и SP или только Application Server. Должна быть разумная комбинация.
Опять же стоит смотреть в том числе и на цену решения целиком и преимущества которые у вас появляются. Так что в данном случае я отвечу что это вопрос личных предпочтений.


>3. Какие существуют решения в части поддержки согласованности между >authorization IDs, хранящиеся за пределами БД и соответствующи им authorization >names, которым предоставляются привилегии на доступ к объектам БД, т.е. как >обходить ситуацию когда предоставляется доступ к несуществующему пока пользователю?

В DB2 авторизация лежит всегда вне БД. Т.е в OS, LDAP, Active Directory (с 8.2 поддерживаются домены в имени пользователя типа user1\domain1 etc..), так же можно написать свою собственную система авторизации и встроить ее в DB2.
Таким образом пока человек не в OS, LDAP, Active Directory доступа он не имеет.

Если нужно оградится от существующих пользователей и не пускать определенных в БД уберите у PUBLIC возможность соединения с БД. И если пользователь или его группа явно не будут фигурировать в системе досупа к объектам DB2, то доступа он не получит.

Можно в DB2 навесить в системе HR (триггер,SP,UDF) который при занесении польззователя в Cостав организации вносил его в Систему Аутентификации (OS, LDAP, Active Directory) и он получит определенный доступ к системам.

Так что возможности в этом плане богатые.