Discussion :

[Donpi]

Bonjour,

En très résumé, voilà ma question:
Comment gérer au mieux la sécurité dans la cas d'une vue qui fait un select sur une autre DB ?

Voilà le tableau:
J'ai une base de données sécurisée à mort avec très peux d'accès que je vais appeler "Centrale".
Et supposons 2 bases de données annexes plus ouvertes. Disons une pour "Finance" et "RH".
Chacune des deux Dbs annexes contient une vue sur des tables différentes de la DB "Centrale".

Dans mon infrastructure je dois implémenter un Row Level Security, ainsi que des droits par Objets.

Comment donner à un utilisateur le droit sur une vue dans finance, sans lui donner d'accès particuliers sur ma DB Centrale ?

J'ai déjà deux approches qui ne me satisfont que moyennement:
- Tout avoir dans le même db avec un plus grand nombre de schémas (a défaut d'autre chose c'est ce que je choisirais)
- Utiliser des fonctions tables signées depuis ma vue affin d’exécuter le sélect sous un credential particulier (C'est purement arbitraire et sans arguments, mais ça me plait pas beaucoup)

En gros je cherche des axes de recherches, toute proposition est bonne à prendre.

A +

PS: Aujourd'hui on est sous 2016 mais a terme ça sera du 2019

[SQLpro]

Si vos différentes bases de données participent à une même application, il est stupide d'avoir éclaté des données en différentes bases, car vous ne pourrez jamais assurer l'intégrité en cas de reprise par restauration. En effet l'intégrité référentielle est impossible entre différentes bases et les sauvegarde restauration ne peuvent garantir la synchronisation des données.

La solution est donc une seule base avec de nombreux schémas.

Personnellement partout ou je passe j’interdis l'utilisation du schéma dbo, pour des raisons de performances notamment !

A +

[Donpi]

C'est pour de la BI.
J'ai déjà une tonne de schemas et effectivement splitter en plusieurs bases différentes par exemple par services, c'est assez séduisant.
Mais effectivement a défaut d'autre solutions, je ferais ça.