Discussion :

[Higgins]

Bonjour,
Je voudrais attribuer, sur SQL server 2008, des droits en utilisant une commande du type:
GRANT SELECT ON matable TO monuser WHERE COL1 between 12 and 23

Je sais que cette syntaxe n'est pas valable et que dans l'idéal je devrais créer une vue.
Mon problème est qu'avec 200 utilisateurs, des restrictions similaires sur près d'une centaine de tables, sans parler des différentes combinaison de colonnes-valeur par table, j'ai peur de me retrouver avec une usine à gaz à gérer (pourquoi je vois cet enregistrement et pas celui-là, ....) et de faire grossir démesurément la base de données.

Est-ce que vous vous êtes déjà retrouvés confrontés à ce problème et quelles solutions avez-vous mis en oeuvre?

[dbaffaleuf]

Hello,

Les vues sont faites pour adresser ce problème. Tu peux peut être regrouper tes utilisateurs dans des rôles (il n'y a quand même pas 200 profils de droit différents), et affecter les droits de lecture sur les vues par rôle.

Mais je suis d'accord, il faudra quand même se taper la centaine de vues à définir.

David B.

[kagemaru]

Bonjour

Je sais que cette syntaxe n'est pas valable et que dans l'idéal je devrais créer une vue.

gagné

Mon problème est qu'avec 200 utilisateurs, des restrictions similaires sur près d'une centaine de tables, sans parler des différentes combinaison de colonnes-valeur par table

Vu sous cet angle, cela semble inextricable. Si vous précisez un peu plus, il est peut-être possible de proposer quelque chose d'adapté ?

Mais si les règles de filtrage des données (les personnes de type X ne peuvent voir que les données de la table Z dont la colonne type=X) sont énoncées clairement, il ne devrait pas y avoir de problème avec les vues... C'est une application maison dans laquelle vous avez la possibilité de tout modifier (ou presque) ?

[Higgins]

Merci pour vos réponses.

C'est une application maison dans laquelle vous avez la possibilité de tout modifier (ou presque) ?

Oui, heureusement. Il s'agit en fait d'une refonte de l'application et de la base de données, donc tout est envisageable

Tu peux peut être regrouper tes utilisateurs dans des rôles (il n'y a quand même pas 200 profils de droit différents), et affecter les droits de lecture sur les vues par rôle.

Oui, effectivement, ça permet de limiter.

Le problème, c'est que selon les clients, les exigences sont multiples et variées et un "mécanisme générique" aurait été pratique pour permettre à chaque utilisateur que tel ou tel role n'a le droit d'accéder qu'à telles ou telles données de telle table.
Mais bon tant pis