数据库中的身份验证的内联网应用程序

Question

我在寻找一种最佳做法为最终结束的身份验证的内部网络应用程序的数据库层。

最常见的情况，我们看到的是使用一个单一的SQL账户的权限设定为什么是必需的应用程序。这个帐户是用于所有应用程序的话。然后当人们要求访问的数据库通过查询工具或这样的一个单独的集团创建的查询的访问和人民给出的访问团。

其他的情况我已经看到的是用完整的窗户身份验证端到端。所以，用户自己被添加到集团所设置的权限，以便用户能够更新和更改之外的参数应用程序。这通常涉及保护人下降到适当的储存程序，使他们不更新的表格。

第一种情况下似乎相对容易地到维护，但引起关注，如果有一个安全洞中的应用程序，然后将整个数据库受到损害。

第二种情况似乎更加安全，但有相反的关注具有多中的业务逻辑存储程序的数据库。这似乎限制使用的一些很酷的技术，例如它能够和皇宫.然而在今天和这个时代里，人们可以使用数据，所以许多不同的方法我们没有预见例如mash-ups等等这是最好的办法。

Answer 1

Dale-就是这样准确。如果你想要访问提供基础数据存储，这些用户那么通过服务。和我的经验，这些经验丰富的计算机用户来推Uni/学院，损坏的事情的大多数。正如俗话所说，他们知道就足以危险的。

如果他们想要自动化的一部分，他们的工作，他们可以显示它们具备必要的知识，然后继续前进，给予他们的 域帐户 访问的后台。这样，任何东西他们通过他们的小VBA自动化是与他们的帐户，你知道究竟是谁要去看看数据时得到欺骗.

我的基本点是，该数据库是众所周知的圣杯的应用程序。你想要几个手指在那个特别的馅饼因为可能。

作为一名顾问，每当我听到有人允许正常的用户进入数据库，我的眼光，因为我知道它就会最终被一个很大的薪水我的时候我会修复它。

Answer 2

就个人而言，我不想正常的最终用户的数据库。对于一个内联网应用程序(特别是一个其中驻留在一个领域)，我将提供一个单一账户应用程序访问的数据库，其中仅有这些权利所需的应用程序的功能。

访问的应用将通过控域中的用户账户(关闭匿名访问在IIS，等等)。

如果 一个用户的需要，并且可以证明，直接访问数据库，然后他们 域帐户 将对数据库的访问，他们可以登录入DBMS使用的适当工具。

Answer 3

我已经负责对发展中几个内部网络应用程序，在过去的一年。

我们的溶液使用Windows认证的(主动目录或LDAP)。

我们的目的只是允许一个简单的登录，使用一个现有公司名/密码。我们还想确定，现有的部门仍将负责核查和管理访问权限。

虽然我不能回答的参数，关于它能够或皇宫，除非你有一个具体的杀手的特点这些东西可以实施，活动的目录或LDAP是简单的足够的实施和维护，这是值得尝试。

Answer 4

我同意与斯蒂芬Wrighton.域安全的路要走。如果你想使用的混合和什么-不，你可以获得零部件的数据库通过的机器可读宁静的接口。 亚音速 有一个 建立在.

Answer 5

斯蒂芬维持正常的最终用户的数据库是好的，但我想知道如果在这个时代有许多经验丰富的计算机用户来推大学/学院，如果这一正确的道路。如果有人想要自动化的一部分，他们的工作，其中包括一个VBA更新一个数据库，它允许他们这样做，通过正常程序是我们失去了性别问题信息和联网系统，限制他们访问在这一方式。

我猜其他的路径暗示这里是你可以开放应用程序通过服务，并然后确保这些服务通过小组和仍然保持用户分离的数据库。

然后通过代表团可以允许部门控制进入其自己的账户，通过该组作为每乔纳森的员额。