Dotyczy wersji: 2022.3.x i powyżej; autor: Jacek Język
Wprowadzenie
Wraz z wprowadzeniem wersji 2022 R3 WEBCON BPS zdefiniowano dedykowane konto do odczytu bazy danych. Podczas każdej nowej instalacji we wszystkich Bazach zawartości automatycznie utworzony zostanie użytkownik bazy danych o nazwie bps_user, który będzie używany przez system BPS do odczytu danych z bazy.
Z kolei w trakcie aktualizacji już działającego systemu użytkownik bps_user zostanie również utworzony, ale będzie on wykorzystywany przez system jedynie w sytuacjach, gdy system korzystał wcześniej z dedykowanego konta tylko odczytu danych z bazy (możliwość korzystania z takiego konta była opcjonalna w wersjach do 2022 R2 włącznie). Jeśli konto tylko odczytu danych z bazy nie zostało skonfigurowane, po aktualizacji komunikacja z bazą będzie odbywać się na dotychczasowych zasadach (z pominięciem użytkownika bps_user).
Niniejszy artykuł przybliża kwestie zastosowania tego konta, przysługujących mu uprawnień oraz towarzyszących ograniczeń.
Zastosowanie
Możliwość utworzenia dedykowanego konta do odczytu danych z bazy istniała już we wcześniejszych wersjach systemu, jednak teraz jest ono tworzone domyślnie. Tak więc bps_user jest standardowym kontem, w kontekście którego wykonywane są reguły SQL COMMAND oraz wszystkie zapytania wykorzystujące Domyślne połączenie, np. podczas konfiguracji wybranych atrybutów lub akcji, wykonując lub testując zapytania SQL z użyciem <Bieżącej bazy BPS>.
Jeśli system zostanie zaktualizowany do najnowszej wersji, wszystkie zapytania wykonywane do tej pory w kontekście dedykowanego Konta odczytu bazy danych będą domyślnie wykonywane w kontekście użytkownika bps_user i nie ma możliwości zmiany tego zachowania.
Uprawnienia i ograniczenia
Użytkownik bps_user posiada uprawnienia typu select, a więc możliwy jest jedynie odczyt danych dla ściśle określonych tabel.
Zakres dostępu do danych został określony w taki sposób, by umożliwić pełną swobodę konfiguracji procesów i aplikacji z uwzględnieniem danych biznesowych przechowywanych w bazie, równocześnie blokując dostęp tabel przechowujących stricte informacje techniczne i konfiguracyjne.
Użytkownik bps_user posiada możliwość odczytu z tabel przechowujących dane elementów, dane słownikowe, informacje o załącznikach, zadaniach, spółkach, kursach walut, tłumaczeniach. Możliwy jest również odczyt części tabel przechowujących konfiguracje aplikacji, procesów, obiegów, kroków, formularzy, akcji.
Pełną listę udzielonych dostępów dla użytkownika bps_user zawiera definicja procedury [dbo].[proc_GrantLowPrivileges].
Wprowadzone ograniczania mają swoje uzasadnienie – w ten sposób zwiększono poziom bezpieczeństwa danych w systemie. Utrudniona została możliwość świadomej lub przypadkowej modyfikacji danych oraz konfiguracji systemu.
Jeśli w wyników prac projektowych związanych z rozwojem procesów lub aplikacji konieczny okaże się szerszy niż domyślnie określony dostęp do danych zapisanych w bazie systemu, zdecydowanie nie zaleca się modyfikacji uprawnień dla konta bps_user. W takim przypadku odpowiednim rozwiązaniem będzie utworzenie dodatkowego użytkownika bazy danych, a następnie skonfigurowanie w WEBCON BPS Designer Studio połączenia działającego w kontekście tego użytkownika. Z nowego połączenia należy skorzystać w tych miejscach konfiguracji, które wymagają rozszerzonego dostępu do bazy danych.
W tym miejscu warto przypomnieć i podkreślić, że jakiekolwiek modyfikacje danych w bazach BPS (użycie poleceń UPDATE lub INSERT) wykonywane z użyciem niestandardowego połączenia są niedopuszczalne i mogą spowodować awarię systemu. Z tego względu, przy korzystaniu z niestandardowych połączeń do baz danych BPS, zalecane jest ograniczenie uprawnień użytkownika do poziomu Tylko do odczytu.