Идентификатор и управление доступом (репликация)
Проверка подлинности представляет собой процесс проверки сущностью (в данном контексте, как правило, компьютером) другой сущности, также называемой участником(как правило, это другой компьютер или пользователь). Авторизация — это процесс, с помощью которого авторизованный участник получает доступ к ресурсам, например к файлу в файловой системе или таблице в базе данных.
Система безопасности репликации использует проверку подлинности и авторизацию для контроля доступа к реплицируемым объектам базы данных, к компьютерам и агентам, участвующим в процессе репликации. Эти действия выполняются с помощью трех механизмов.
Безопасность агента. Модель безопасности агента репликации позволяет точно контролировать учетные записи, под которыми агенты репликации запускаются и устанавливаются подключения. Подробные сведения о модели безопасности агентов см. в разделе Replication Agent Security Model. Сведения о настройке имен для входа и паролей агентов см. в статье Управление именами для входа и паролями при репликации.
Роли администрирования. Убедитесь, что для настройки, обслуживания и обработки репликации используются правильные роли сервера и базы данных. Дополнительные сведения см. в статье Security Role Requirements for Replication.
Список доступа к публикации (PAL): предоставление доступа к публикациям через pal. Он работает так же, как и список управления доступом Microsoft Windows. Когда подписчик подключается к издателю или распространителю и запрашивает доступ к публикации, данные для проверки подлинности, переданные агентом, проверяются согласно списку доступа к публикации. Дополнительные сведения и рекомендации по использованию списков доступа к публикации см. в этой статье.
Фильтрование опубликованных данных
В дополнение к использованию проверки подлинности и авторизации для контроля доступа к реплицируемым данным и объектам репликация имеет два параметра для управления доступными данными на подписчике: фильтрация по столбцам и строкам. Дополнительные сведения о фильтрации см. в статье Фильтрация опубликованных данных.
При определении статьи можно опубликовать только те столбцы, которые необходимы для публикации, и пропустить несущественные столбцы или столбцы, которые содержат конфиденциальные данные. Например, при публикации таблицы Заказчик из базы данных Adventure Works для продавцов на выезде можно пропустить столбец AnnualSales , который может быть важен лишь для администрации компании.
Фильтрация опубликованных данных позволяет ограничить доступ к данным и указать данные, доступные на подписчике. Например, можно отфильтровать таблицу Customer , чтобы корпоративные партнеры получали сведения только о тех клиентах, у которых столбец ShareInfo имеет значение "да". Для репликации слиянием при использовании параметризованного фильтра, включающего HOST_NAME(), необходимо учитывать вопросы безопасности. Дополнительные сведения см. в подразделе «Фильтрация с использованием HOST_NAME()» раздела Parameterized Row Filters.
Управление именами входа и паролями в репликации
При настройке репликации укажите имена входа и пароли для агентов репликации. После настройки репликации можно изменить имена входа и пароли. Дополнительные сведения см. в статье View and Modify Replication Security Settings. При изменении пароля учетной записи, используемой агентом репликации, выполните sp_changereplicationserverpasswords (Transact-SQL).
См. также:
Модель безопасности агента репликации
Рекомендации по защите репликации
Безопасность Репликация SQL Server
Угрозы репликации и устранение уязвимостей