Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
controle d'accés pour un fichier (oracle)
Quels sont les étapes à faire pour visualiser la mise à jour des données dans un table sensible en mode interactif? C'est à dire : pour vérifier la modification des données en mode interactif (fraude) sans passer par le menu de l'application. Est ce qui'il est possible de bloquer un utilisateur pour qu'il ne puisse pas faire le mode interactif ?
Merci
Bonjour et bienvenue sur le forum Oracle ,
merci de bien spécifier votre version et surtout de bien préciser le probléme et le résultat voulue pour que la réponse puisse être la plus pertinente possible .
Est ce que vous cherchez à empêcher un user précis de se connecter ?
Jaouad
bonjour,
oui , comment je vais empêcher un user précis pour qu'il ne puisse pas faire le mode interactif?
merci.
tsyl,
Nous allons reprendre
Est ce que tu pourrais détailler :
- La version des outils
- Le probléme
- les erreurs
la version de l'outil c'est l'oracle 7.
Le porblème : comment faire empêcher un user de ne pas faire l'operation en mode interactif pour eviter la modification direct des donées sensibles.
Merci.
En faisant une analogie avec un Desktop, Windows representerait Oracle7, mais ca ne nous indiquerait pas si l'utilisateur utilise Word, Excel, Powerpoint ou l'une des milliers d'applications dispos sur cette platforme.
Oracle7 qualifie la version de la base de donnees, tres ancienne entre parentheses. Mais quels sont les applications ou les outils utilises par l'utilisateur pour acceder et/ou modifier ces donnees: Oracle Applications, Forms2.3/4/4.5, SQL*Plus ?
Les outils utilisés par l'utilisateur pour acceder aux données sensibles Oracle : SQL*Plus .
Merci.
Bonjour,
je crois que tu peux déinstaller sqlplus du poste client .
chez nous les utilisateurs néophites n' ont pas sqlplus sur leur poste,
uniquement les applis et le client oracle allégé .
cdlt
il est possible d'installer une sécurité pour sqlplus, mais ça n'empêchera "que " sqlplus et pas les autres outils styles TOAD si installés.
oracle7 sqlplus reference
http://download.oracle.com/docs/pdf/A42562_1.pdf
PRODUCT_USER_PROFILE Table
Various Oracle products use PRODUCT_USER_PROFILE, a table in the
SYSTEM account, to provide product-level security that supplements
the user-level security provided by the SQL GRANT and REVOKE
commands and user roles. (SET ROLE requires Oracle7.)
Attention aussi au couple Excel/ODBCqui peut permettre de se connecter directement à la base suivant les configurations.
Si les utilisateurs ont uniquement besoin de lire les données par sqlplus, il y a peut-être une solution avec l'attribution d'un rôle par défaut qui ne permet que de faire du SELECT par défaut que l'application devrait changer à la connexion de l'utilisateur. Et il faudrait aussi être sûr que l'utilisateur ne peut changer de rôle avec sqlplus...
Si on veut blinder au maximum, il y a toujours la possibilité théorique mais lourde de revoir la sécurité de l'application côté base de données:
- supprimer les comptes Oracle personnels dans la base, les remplacer par un compte Oracle générique avec ce qu'il faut style Oracle Applications
(gestion des comptes dans l'application et gestion côté serveur du mot de passe du compte générique...)
- remplacer le code SQL par des procédures stockées, retirer les droits INSERT/UPDATE/DELETE aux utilisateurs et donner uniquement aux utilisateurs le droit d'exécuter les procédures stockées.
Je ne vois pas en quoi le fait de n'avoir qu'un seul compte générique améliore les choses... ça simplifie juste (un peu) les tâches d'admin. mais ça ne permet pas de savoir précisément qui fait quoi, ni de restreindre les connections possibles !
Oui, c'est vrai: c'est insuffisant. Il faut rajouter dans ce cas là que:
- les utilisateurs ne doivent connaître ni le compte générique/ni son mot de passe
- il faut créer un autre compte Oracle avec un accès en lecture uniquement sur les tables de l'application et que c'est ce compte là avec son mot de passe qu'il faut donner aux utilisateurs pour faire du SQL avec sqlplus
- la traçabilité des actions sur la base de données doit être effectivement faite par l'application.
Non, la seule solution qui à mes yeux tienne la route c'est :
- Un compte propriétaire des objets mais qui n'a plus la possibilité de se connecter une fois la structure mise en place.
- n rôles applicatifs (lecture seule sur toutes les tables ? lecture/écriture partout ? ...). Dans la mesure du possible, ces rôles applicatifs ne doivent pas avoir de privilège ALTER TABLE
- m utilisateurs nominatifs avec les bons rôles
- UN seul compte administrateur, nominatif et dont le mot de passe expire régulièrement qui lui seul peut accéder en accès total (ALTER compris) à toutes les tables de l'application.
Et on ne confie pas la tracabilité à l'application mais à la base.... Oracle le fera sûrement nettement mieux et sans trop d'impacts de performances que l'application, et cela sans avoir à écrire une seule ligne de code en plus !
Peut-être. En tout cas, ce qui m'étonne c'est que Oracle n'utilise pas toutes les possibilités qu'offre sa propre base de données dans son propre produit Oracle Application ...
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager