Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Ограничение (разрешение) доступа - помогите советом.
|
|||
|---|---|---|---|
|
#18+
Добрый день (вечер), помогите советом как лучше организовать security для пользователей бухгалтерской задачи, чтобы в зависимости от ролей они имели разный доступ к данным (процедурам), то есть кто-то может только читать данные (например получать отчеты), другие только вводить данные (без права получения отчетов), третьи - чатать и вводить данные, но без права processing'a и так далее. На данный момент в нашей компании есть вариант, который мне кажется не совсем верный, а именно: - все пользовательские экраны и кнопки управления на каждом экране занесены в таблицу. - создается несколько профайлов в которых определяется доступ к каждому элементу управления (кнопке) - устанавливается для пользователя (по id) принадлежность к тому или иному профайлу - при старте пользовательского интерфейса считывается его id и доступ из таблицы с профайлами - ........... То есть, все это никак не использует security самого SQL сервера. Может кто-то бросить линки с описанием правильного подхода к этой проблеме!? Спасибо за любые советы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.02.2002, 22:03 |
|
||
|
Ограничение (разрешение) доступа - помогите советом.
|
|||
|---|---|---|---|
|
#18+
... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.02.2002, 11:31 |
|
||
|
Ограничение (разрешение) доступа - помогите советом.
|
|||
|---|---|---|---|
|
#18+
2 Александр Гладченко человеку нужен доступ к логическим объектам - отчеты, документы и проч., к-е размазаны по нескольким таблицам и sp. 2 Restless надо, думая о WinNT, построить список "логический объект-логическая операция-юзер", или дерево "логический объект-родительский объект-логическая операция-юзер" - для разграничения доступа хватит. Именно такой подход, как у тебя - проверять и гасить кнопки (доступ к логич. операциям). Профайл - нехорошее слово, надо ПРОФИЛЬ Безопасность самого сервера нужна 1) для разработчиков/администраторов, которым не всю информацию можно показывать/изменять 2) для отказа левому доступу через Access/QA/EM и др. Можно связать доступ к логическим объектам с доступом к sp, к-е этот доступ реализуют но придется еще и закрывать доступ на уровне строк таблиц, т.к. задач типа дать доступ к складу 1 и запретить к складу 2 - навалом. Короче, надо всегда помнить, что работаем мы с логическими объектами, а сервер - с физическими. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.02.2002, 05:48 |
|
||
|
Ограничение (разрешение) доступа - помогите советом.
|
|||
|---|---|---|---|
|
#18+
Если закрывать доступ к кнопкам и элементам управления, это не спасёт от доступа к данным иными, чем программа средствами (например, QA). Если давать доступ к таблицам, возникают трудности при работе с нормализованными данными, да и не рекомендуют давать доступ на уровне таблиц. Зато доступ к представлениям или процедурам как раз давать рекомендуют... С помощью пользовательских ролей или ролей приложений, можно этот доступ раздавать или блокировать (см. ссылки), а уже в роли можно включать или NT логины или NT группы. В таком случае, разграничение прав можно будет осуществлять не затрагивая SQL сервер, а только средствами NT. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.02.2002, 20:03 |
|
||
|
Ограничение (разрешение) доступа - помогите советом.
|
|||
|---|---|---|---|
|
#18+
2 Александр Гладченко еще раз: нужено ограничение доступа к логическим объектам - отчеты, документы и проч., к-е размазаны по нескольким таблицам и sp. Не надо смешивать доступ к sp и доступ к логическим объектам. Ограничение доступа к логическим объектам - надстройка (усиление ограничений) над ограничениями доступа к объектам SQL-сервера таблица реквизитов реквизит А реквизит Б .......... Требуется задать ограничение: Пользователь С не может при создании документа использовать реквизит Б, но может использовать реквизит А. Можно, кончно, наделать view, но вот конкретный пример: 20 складов, 50 операторов. Право на отгрузку товара только со своего склада. Причем одним view на один склад дело не ограничится. Как я уже говорил, данные, по которым формируется документ, размазаны по многим таблицам. Количество строк во всех view будет превосходить количество строк во всех таблицах. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.02.2002, 02:02 |
|
||
|
Ограничение (разрешение) доступа - помогите советом.
|
|||
|---|---|---|---|
|
#18+
Ну тогда Вам нужно во все таблицы добавлять поле, которое будет обозначать права, или, что наверное лучше, или нет, создать таблицу, в которой для каждого юзера можно хранить спиок идентификаторов и типов того, чего Вы хотите ограничить или неограничить. Помоему, никак иначе нельзя сделать права для конкретной записи в любой таблице. Короче, кошмар это. Может как то по-другому? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.02.2002, 09:17 |
|
||
|
Ограничение (разрешение) доступа - помогите советом.
|
|||
|---|---|---|---|
|
#18+
Dmitry <- ещё раз: эти самые логические объекты - это и есть представления или процедуры. Если это селекты на живые таблицы - то это не правильно. И не нужно будет городить огород из самопального механизма разграничения доступа к избранным полям. Всё можно сделать только стандартными средствами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.02.2002, 09:49 |
|
||
|
Ограничение (разрешение) доступа - помогите советом.
|
|||
|---|---|---|---|
|
#18+
Ну если человеку нужно ограничивать права на записи, то тут нет стандартных средств. Пусть уж определится ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.02.2002, 10:24 |
|
||
|
Ограничение (разрешение) доступа - помогите советом.
|
|||
|---|---|---|---|
|
#18+
Давайте определимся: Требуется администрировать на уровне документов и операций над ними. доступ к таблицам закрыт, все выборки данных идут через sp, доступ к которым также закрыт всем, кроме application role и операторы пароля не знают. Данные для логического объекта документ_1 для оператора_1 формируются вызовами sp (нескольких). Существуют, напр., ограничения на входные параметры, которые зависят от типа документа, операции, оператора, даты, .... хранить которые в клиентском коде невозможно, поскольку операторы и ограничения постоянно меняются. Существование одного логического объекта (документа) обеспечивается десятком таблиц и работающими с ними sp. Т.е. всего около 50 объектов sql-сервера. Но нам нужна информация о том, что эти 50 объектов сервера логически объединены (доступ к объектам и контроль. Вырубили свет, допишу потом ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.02.2002, 01:56 |
|
||
|
|
start [/forum/topic.php?fid=46&fpage=3507&tid=1824006]: |
0ms |
get settings: |
6ms |
get forum list: |
12ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
34ms |
get topic data: |
7ms |
get forum data: |
2ms |
get page messages: |
26ms |
get tp. blocked users: |
1ms |
| others: | 223ms |
| total: | 315ms |
| 0 / 0 |
