Discussion :

[brruno]

Bonjour,

J’ai un problème de droits d’accès que je ne comprends pas.

J’ai sur un même serveur :

- une base A avec un userA qui est db_owner
- une base B avec un userB qui est db_owner
- une table TBL qui est identique sur les deux bases

J’ai fait un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
grant insert on [base B].[dbo].[TBL] to userA
GO
grant update on [base B].[dbo].[TBL] to userA
GO

J’ai même mis userA en db_datareader et db_datawriter de base B

Ensuite je fais un trigger sur TBL de base A pour qu’il recopie les données dans base B

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
	INSERT INTO [Base B].[dbo].[TBL]
		(COL_1,COL_2)
 
	SELECT 
		ins.COL_1,ins.COL_2	 FROM inserted ins

Et là, lorsque je fais un insert, j’ai un message d’erreur me disant que je n’ai pas les droits sur TBL de base B.

Si je mets userA db_owner de base B cela fonctionne.

Ce qui est bizarre (pour moi) est que, si je vais regarder les droits de userA dans la base B je vois bien les autorisations explicites sur TBL pour insérer et mettre à jour mais si je vais dans les autorisations effectives je ne vois les droits que pour UPDATE sur les colonnes et non pour INSERT (d’où le problème j’imagine).

Qu’est-ce que je fais mal ou pas ?
Quelqu’un a-t-il une idée ?

Merci par avance.
Bonne journée

[SQLpro]

Le concept d'utilisateur est propre à chaque base de données et le sécurité est cloisonnée. Un utilisateur toto dans une base A n'a rien à voir avec un utilisateur toto dans une base B, même si le nom est identique.

Les solutions sont de différentes natures :
1) passez par la notion de propriétaire (trop général)
2) utilisez l'impersonnalisation (assez général)
3) mettre en œuvre des certificats.

A lire :
http://blog.developpez.com/mikedavem...oriser_et_secu

A +

[brruno]

Merci.

Mais dans ce cas pourquoi lorsque je mets mon userA db_owner dans la base B cela fonctionne ?
Et pourquoi, lorsque je regarde les autorisations effectives je vois les droits en UPDATE mais non en INSERT

D'ailleurs si je crée le même genre de trigger en after update je n'ai pas d'erreur et ma table de la base B se met correctement à jour.

Merci

[SQLpro]

Merci.

Mais dans ce cas pourquoi lorsque je mets mon userA db_owner dans la base B cela fonctionne ?

Parce que avez donc utilisé la solution 1

Et pourquoi, lorsque je regarde les autorisations effectives je vois les droits en UPDATE mais non en INSERT

D'ailleurs si je crée le même genre de trigger en after update je n'ai pas d'erreur et ma table de la base B se met correctement à jour.

Merci

Les déclencheurs s'exécutent sous l'appelant. Tout dépend qui appelle le déclencheur


A +

[brruno]

Merci pour vos réponses.

Mais il y a toujours un truc "étrange" pour moi.
Le trigger est appelé par le userA de la base A qui est db_owner de la base A donc il 'y a pas de problème de droits de ce côté.

Mais même indépendamment du trigger
Si je fais un GRANT INSERT on [baseB].[dbo].[TBL] to userA

Lorsque je regarde les autorisations de userA sur la base B je vois :
sur [TBL] autorisation explicite : Insérer -> Octroyer
sur [TBL] autorisation effective : sur toutes les colonnes j'ai SELECT et non INSERT.

Je ne comprends pas.

C'est ben compliqué pour moi...

Merci en tous cas de votre aide