Dotyczy wersji: 2022.3.x i powyżej; autor: Jacek Język
Wprowadzenie
Wraz z wprowadzeniem wersji 2022 R3 WEBCON BPS zdefiniowano dedykowane konto do odczytu bazy danych. Podczas każdej nowej instalacji oraz aktualizacji systemu we wszystkich Bazach zawartości automatycznie utworzony zostanie użytkownik bazy danych o nazwie BPS_User.
Niniejszy artykuł przybliża kwestie zastosowania tego konta, przysługujących mu uprawnień oraz towarzyszących ograniczeń.
Zastosowanie
Możliwość utworzenia dedykowanego konta do odczytu danych z bazy istniała już we wcześniejszych wersjach systemu, jednak teraz jest ono tworzone domyślnie. Tak więc BPS_User jest standardowym kontem, w kontekście którego wykonywane są reguły SQL COMMAND oraz wszystkie zapytania wykorzystujące Domyślne połączenie, np. podczas konfiguracji wybranych atrybutów lub akcji, wykonując lub testując zapytania SQL z użyciem <Bieżącej bazy BPS>.
Jeśli system zostanie zaktualizowany do najnowszej wersji, wszystkie zapytania wykonywane do tej pory w kontekście dedykowanego Konta odczytu bazy danych będą domyślnie wykonywane w kontekście użytkownika BPS_User i nie ma możliwości zmiany tego zachowania.
Uprawnienia i ograniczenia
Użytkownik BPS_User posiada uprawnienia typu select, a więc możliwy jest jedynie odczyt danych dla ściśle określonych tabel.
Zakres dostępu do danych został określony w taki sposób, by umożliwić pełną swobodę konfiguracji procesów i aplikacji z uwzględnieniem danych biznesowych przechowywanych w bazie, równocześnie blokując dostęp tabel przechowujących stricte informacje techniczne i konfiguracyjne.
BPS_User posiada możliwość odczytu z tabel przechowujących dane elementów, dane słownikowe, informacje o załącznikach, zadaniach, spółkach, kursach walut, tłumaczeniach. Możliwy jest również odczyt części tabel przechowujących konfiguracje aplikacji, procesów, obiegów, kroków, formularzy, akcji.
Pełną listę udzielonych dostępów dla użytkownika BPS_User zawiera definicja procedury [dbo].[proc_GrantLowPrivileges].
Wprowadzone ograniczania mają swoje uzasadnienie – w ten sposób zwiększono poziom bezpieczeństwa danych w systemie. Utrudniona została możliwość świadomej lub przypadkowej modyfikacji danych oraz konfiguracji systemu.
Jeśli w wyników prac projektowych związanych z rozwojem procesów lub aplikacji konieczny okaże się szerszy niż domyślnie określony dostęp do danych zapisanych w bazie systemu, zdecydowanie nie zaleca się modyfikacji uprawnień dla konta BPS_User. W takim przypadku odpowiednim rozwiązaniem będzie utworzenie dodatkowego użytkownika bazy danych, a następnie skonfigurowanie w WEBCON BPS Designer Studio połączenia działającego w kontekście tego użytkownika. Z nowego połączenia należy skorzystać w tych miejscach konfiguracji, które wymagają rozszerzonego dostępu do bazy danych.
W tym miejscu warto przypomnieć i podkreślić, że jakiekolwiek modyfikacje danych w bazach BPS (użycie poleceń UPDATE lub INSERT) wykonywane z użyciem niestandardowego połączenia są niedopuszczalne i mogą spowodować awarię systemu. Z tego względu, przy korzystaniu z niestandardowych połączeń do baz danych BPS, zalecane jest ograniczenie uprawnień użytkownika do poziomu Tylko do odczytu.