Просто хочу узнать об опыте каждого и взять на себя управление пользователями / аутентификацию в многоузловом кластере db2 с группами пользователей. У меня 17 приложений в разработке (проектная компания, только 2 онлайн-приложения) и около 30 пользователей с 7 группами.
Моя компания делает следующее: когда приложение использует определенного пользователя (называемого app1user) и ему требуется привилегия выбора и вставки в таблицу, они 1. предоставляют выбор и вставку для prodsel, prodins соответственно 2. Добавляют пользователя в эти две группы .. .Теперь это создает отношения «один ко многим» между пользователем и привилегиями, и этот app1user также получает возможность выбора в других таблицах, предоставленных группе prodsel. Я знаю, что это неправильно. Прежде чем я объясню, мне нужно знать, как это делается в другом месте. Поделитесь своим опытом, даже если вы используете другие базы данных, в которых используется проверка подлинности на уровне ОС.
Для меня это звучит странно - создавать группы по имени человека.
Я бы создал группы, представляющие либо приложение, либо типичный ролевой профиль.
Скажем, база данных называется DB, а приложение - APP, далее мы вызываем одну роль РЕДАКТОР, а другую - ЧИТАТЕЛЬ. В этом случае я бы добавил группы
со всеми необходимыми правами, необходимыми для выполнения поставленных задач.
Чистый способ - иметь пользователей только для каждого приложения. Вы можете разделить пользователя между приложениями, если оба приложения по сути являются одной системой. Например. Вы можете поделиться пользователями, если все приложения являются частью маркетинговой системы. Если одни приложения являются частью маркетингового решения, а другие - частью системы управления персоналом, то определенно не делитесь учетными записями / группами пользователей.
Чем меньше у пользователя прав, тем меньше возможных побочных эффектов и нарушений безопасности. Многие (если не большинство) нарушений безопасности происходят изнутри.