sp_setapprole и создание пользователей/логинов

Question

Мы настроили SQL Server и наше приложение таким образом, чтобы учетная запись SQL Server ... без каких-либо разрешений при доступе к базе данных с помощью любого инструмента, кроме нашего приложения. Это необходимо, потому что некоторые люди могут запустить доступ (или SQL Server Management Studio) и смогут манипулировать данными таким образом.

Итак, мы установили роль приложения и предоставили этой роли приложения необходимые разрешения. Все работает хорошо, пользователи не могут получить доступ к нашим таблицам, если они не используют наше приложение.

Теперь возникает проблема. В нашем приложении должно быть возможно создать дополнительные логины/пользователи или установить некоторых конкретных пользователей в качестве администраторов (только администраторы могут создавать связанные с пользователем материалы). Я не уверен на 100%, но в этом случае мне кажется, что пользователю нужна роль SecurityAdmin. Таким образом, у нас есть некоторый код в нашем приложении, которое выглядит следующим образом:

IF NOT EXISTS (SELECT name 
       FROM sys.server_principals 
       WHERE name = @LoginName) 
    BEGIN 
     SET @SQL = 'CREATE LOGIN [' + @LoginName + '] WITH PASSWORD = ''' 
      + @Password + ''', DEFAULT_DATABASE=[' + @DBNAME 
      + '], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'; 
     EXECUTE(@SQL); 
    END 

IF NOT EXISTS (SELECT name 
       FROM sys.database_principals 
       WHERE name = @LoginName) 
    BEGIN 
     SET @SQL = 'CREATE USER [' + @LoginName + '] FOR LOGIN [' 
      + @LoginName + ']'; 
     EXECUTE(@SQL); 
    END 

IF EXISTS (SELECT name 
      FROM sys.server_principals 
      WHERE name = @LoginName) 
    BEGIN 
     EXEC sp_addsrvrolemember @LoginName, 'securityadmin' 
    END 

Проблема заключается в том, конечно, что server_principals находится в основной базе данных, и нет никакого способа, я могу дать мой Application Роль этих разрешений. Есть ли способ обойти эту проблему или простой способ решить эту проблему?

Answer 1

Вы должны взглянуть на EXECUTE AS предложения в SQL Server:

EXECUTE AS Clause

Вы можете поставить логику в хранимую процедуру в базе данных, установите для выполнения в качестве другого пользователя (или владелец, если владелец базы данных имеет разрешения на выполнение операции). Все, что вам нужно сделать, это предоставить роли приложения разрешения для выполнения процедуры, не более того, и сам код будет выполнен как другой пользователь.

Answer 2

В SQL Server при активации роли приложения (AppRole) его контекст безопасности полностью вытесняет контекст безопасности пользователя. Хотя это может быть отменено в сеансе (соединение), два контекста безопасности (AppRole и User) не могут одновременно быть активными одновременно.

Таким образом, обычным способом использования этих двух способов является то, как вы это делали до сих пор (*): то есть используйте только пользователь/вход только для, чтобы включить право на подключение к базе данных изначально, затем переключитесь на AppRole, чтобы получить доступ к содержимому баз данных.

Однако, если вы хотите включить разные уровни разрешений/прав в базе данных, вы не сможете сделать это через пользователей/логинов (не только в любом случае). Существует несколько различных способов приблизиться к этому, но самый простой способ выполнить то, что вы хотите, вероятно, иметь разные AppRoles для разных классов пользователей приложений. Таким образом, у вас может быть роль ApplUser для большинства пользователей и роль ApplAdmin для пользователей, которые являются администраторами, и т. Д. Затем вы должны предоставить эти дополнительные AppRoles, расширенные разрешения и доступ в базе данных по мере необходимости.

(* И большие престижность для этого. Это очень хорошая схема безопасности для SQL Server, но лишь немногие разработчики приложений пройти через усилия, чтобы осуществить это.)