Identität und Zugriffssteuerung (Replikation)
Gilt für:
SQL ServerAzure SQL Managed Instance
Als Authentifizierung wird der Vorgang bezeichnet, bei dem eine Entität (in diesem Kontext normalerweise ein Computer) überprüft, dass eine andere Entität, die auch als Prinzipalbezeichnet wird (normalerweise ein anderer Computer oder Benutzer), tatsächlich das ist, was sie vorgibt. Als Autorisierung wird der Vorgang bezeichnet, bei dem einem authentifizierten Prinzipal Zugriff auf Ressourcen gewährt wird, beispielsweise auf eine Datei in einem Dateisystem oder eine Tabelle in einer Datenbank.
Für die Replikationssicherheit wird mithilfe von Authentifizierung und Autorisierung der Zugriff auf replizierte Datenbankobjekte sowie auf die Computer und Agents gesteuert, die in die Replikationsverarbeitung involviert sind. Hierzu werden drei Mechanismen herangezogen:
Agentsicherheit
Das Sicherheitsmodell des Replikations-Agents ermöglicht die präzise Steuerung der Konten, unter denen Replikations-Agents ausgeführt werden und Verbindungen herstellen. Ausführliche Informationen zum agentbezogenen Sicherheitsmodell finden Sie unter Replication Agent Security Model.
Verwaltungsrollen
Stellen Sie sicher, dass für Replikationsinstallation, -wartung und -verarbeitung die richtigen Server- und Datenbankrollen verwendet werden. Weitere Informationen finden Sie unter Security Role Requirements for Replication.
Veröffentlichungszugriffsliste (Publication Access List, PAL)
Gewähren Sie den Zugriff auf Veröffentlichungen über die PAL. Die PAL funktioniert ähnlich wie eine Microsoft Windows-Zugriffssteuerungsliste. Wenn ein Abonnent eine Verbindung mit dem Verleger oder Verteiler herstellt und den Zugriff auf eine Veröffentlichung anfordert, werden die vom Agent übermittelten Authentifizierungsinformationen anhand der PAL überprüft. Weitere Informationen und bewährte Methoden hinsichtlich der PAL finden Sie unter Sichern des Verlegers.
Filtern von veröffentlichten Daten
Neben der Verwendung von Authentifizierung und Autorisierung zur Steuerung des Zugriffs auf replizierte Daten und Objekte bietet die Replikation zwei Optionen, mit denen gesteuert werden kann, welche Daten auf einem Abonnenten zur Verfügung stehen: die Filterung von Spalten und die Filterung von Zeilen. Weitere Informationen zur Filterung finden Sie unter Filtern von veröffentlichten Daten.
Bei der Definition eines Artikels können Sie lediglich die Spalten veröffentlichen, die für die Veröffentlichung relevant sind, und diejenigen auslassen, die nicht relevant sind oder vertrauliche Daten enthalten. Wenn Sie beispielsweise die Customer -Tabelle aus der Adventure Works-Datenbank für Vertriebsmitarbeiter im Außendienst veröffentlichen, können Sie die AnnualSales -Spalte auslassen, die möglicherweise nur für leitende Mitarbeiter im Unternehmen relevant ist.
Durch das Filtern von veröffentlichten Daten können Sie den Zugriff auf Daten einschränken und die Daten angeben, die auf dem Abonnenten zur Verfügung stehen. Sie können beispielsweise die Tabelle "Kunden " filtern, sodass Unternehmenspartner nur Informationen zu den Kunden erhalten, deren Spalte "ShareInfo " den Wert "Ja" aufweist. Bei der Zusammenführungsreplikation gibt es Sicherheitsaspekte, wenn Sie einen parametrisierten Filter verwenden, der HOST_NAME() enthält. Weitere Informationen finden Sie im Abschnitt über das Filtern mit HOST_NAME() unter Parameterized Row Filters.
Verwalten von Anmeldeinformationen und Kennwörtern bei der Replikation
Geben Sie bei der Replikationskonfiguration Anmeldeinformationen und Kennwörter für Replikations-Agents an. Nach der Replikationskonfiguration können Sie die Anmeldenamen und -kennwörter ändern. Weitere Informationen finden Sie unter View and Modify Replication Security Settings. Wenn Sie das Kennwort für ein Konto ändern, das von einem Replikations-Agent verwendet wird, führen Sie sp_changereplicationserverpasswords (Transact-SQL) aus.
Die Verwendung gruppenverwalteter Dienstkonten (group Managed Service Accounts, gMSA) wird ab SQL Server 2014 unterstützt. Weitere Informationen finden Sie im Blogartikel Replication and group Managed Service Accounts (Replikation und gruppenverwaltete Dienstkonten).
Weitere Informationen
Sicherheitsmodell für Bedrohungs- und Sicherheitsrisikominderung (Replikation)Replikations-Agent
Bewährte Methoden für die Replikationssicherheit
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für