Discussion :

[sorcer1]

Bonjour,

Je cherche un moyen de restreindre l'accès à des données d'une base de données (SQL Server 2005) mais avec quelque chose de plus compliqué que ce que l'on peut faire en créant des utilisateurs sur SQL Server.

En effet je cherche à créer une hiérarchie d'utilisateurs (SuperAdmin, Admin, Directeur, Utilisateurs par exemple) en limitant l'accès (totale ou partielle) à des tables.

La difficulté consiste en effet à limiter l'accès partiel car par exemple un utilisateur qui consulte la table "Utilisateur" ne verra uniquement que l'enregistrement qui le représente et cela pour toutes les autres tables qui auraient une relation avec la table "Utilisateur".

Je ne sais pas pour l'instant si je dois m'orienter vers une solution à implémenter sur mon SGBD ou si je dois le faire dans mon application (C# 2.0)?

Si vous avez des réflexions sur le sujet je suis preneur!

[al1_24]

Ce type de restriction peut s'effectuer à l'aide de vues, plus ou moins complexes, s'appuyant sur la fonction standard USER.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM employe WHERE username = USER()

[sorcer1]

C'est à dire que je dois ajouter à toutes les tables une colonne username?

[al1_24]

Ou faire des jointures dans les vues pour trouver la correspondance :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
SELECT region.*
FROM    region
   INNER JOIN
      magasin
      ON magasin.id_region = region.id_region
   INNER JOIN
      employe
      ON magasin.id_magasin = employe.id_magasin
WHERE employe.username = USER

[sorcer1]

J'avais effectivement pensé aux joitures mais le problème c'est que ça fonctionne uniquement pour une restriction partielle, or si je suis un admin je ne veux pas que le filtre s'applique.

P.S. Merci de te pencher avec moi la dessus!

[sorcer1]

En fait il me faudrait l'équivalent de Oracle Database Vault sur SQL Server :

La sécurisation des données devient une préoccupation majeure des directions des entreprises. Elles doivent être accessibles et intègres. Leur protection contre des attaques externes est désormais bien maîtrisée. Le problème plus délicat des attaques internes reste entier.

Le contrôle des personnes habilitées à y accéder, et l’analyse des opérations effectuées devront se conformer à des réglementations, et permettre la réalisation d’audits.

Les règles de contrôle d’accès aux données ont longtemps été codées dans les applications. Cette approche est satisfaisante tant que l’utilisateur reste sous le contrôle de l’application. Mais elle n’assure pas la protection contre les attaques menées par des personnels techniques compétents et disposant de forts privilèges sur les bases de données, de part la nature même de leurs fonctions.

Il est donc nécessaire de disposer de mécanismes de protection:
· Intégrés à la base de données.
· Non contournables par des utilisateurs privilégiés.
· Automatiques et paramétrables.
· Transparents pour les applications.
· Permettant l’audit des alertes liées à des violations des règles de sécurité.

Oracle Database Vault, est une option d’Oracle Database 10g, qui permet désormais d’assurer l’ensemble des fonctions énoncées ci-dessus. L’approche retenue est de placer les données dans un domaine de protection qui va être administré par ses propriétaires, un peu à la façon d’un coffre dans une banque.

[sorcer1]

Il n'y a pas d'équivalent?