Identidad y Access Control (replicación)

  • Artículo

Se aplica a:SQL ServerAzure SQL Managed Instance

La autenticación es el proceso por el que una entidad (normalmente un equipo en este contexto) comprueba que otra entidad, denominada principal(normalmente otro equipo o usuario) es quien o lo que dice ser. La autorización es el proceso por el que a una entidad de seguridad autenticada se le proporciona acceso a recursos, como a un archivo en el sistema de archivos o a una tabla en una base de datos.

La seguridad de replicación utiliza la autenticación y autorización para controlar el acceso a objetos de bases de datos replicadas y a los equipos y agentes que intervienen en el proceso de replicación. Esto se consigue con tres mecanismos:

  • Seguridad del agente

    El modelo de seguridad del agente de replicación permite un control perfecto de las cuentas con las que los agentes de replicación se ejecutan y realizan las conexiones. Para obtener más información sobre el modelo de seguridad del agente, vea Replication Agent Security Model.

  • Roles de administración

    Asegúrese de que se utilizan los roles de base de datos y servidor correctos en la configuración, mantenimiento y proceso de la replicación. Para más información, consulte Security Role Requirements for Replication.

  • Lista de acceso a la publicación (PAL)

    Conceda acceso a las publicaciones mediante la PAL. La PAL funciona de forma similar a las listas de control de acceso de Microsoft Windows. Cuando un suscriptor se conecta al publicador o al distribuidor y solicita acceso a una publicación, la información de autenticación transferida por el agente se comprueba con la PAL. Para más información y prácticas recomendadas para la PAL, vea Secure the Publisher (Proteger el publicador).

Filtrar datos publicados

Además de utilizar la autenticación y la autorización para controlar el acceso a objetos y datos replicados, la replicación incluye dos opciones para controlar qué datos están disponibles en un suscriptor: el filtro de columnas y el filtro de filas. Para más información sobre el filtrado, vea Filtrar datos publicados.

Cuando se define una restricción, se pueden publicar solo las columnas necesarias para la publicación y omitir las que no son necesarias o contienen datos confidenciales. Por ejemplo, al publicar la tabla Customer de la base de datos Adventure Works para representantes de ventas que están de viaje, puede omitir la columna AnnualSales , que solo sería importante para los ejecutivos de la compañía.

El filtrado de los datos publicados permite restringir el acceso a los datos y especificar qué datos están disponibles en el suscriptor. Por ejemplo, se puede filtrar la tabla Customer para que los socios corporativos solo reciban información de los clientes que en la columna ShareInfo tienen el valor "yes". Para la replicación de mezcla, hay consideraciones de seguridad si se utiliza un filtro parametrizado que incluya HOST_NAME(). Para obtener más información, vea la sección "Filtrar con HOST_NAME()" en Parameterized Row Filters.

Administrar inicios de sesión y contraseñas en la replicación

Cuando configure la replicación, especifique los inicios de sesión y las contraseñas para los agentes de replicación. Después de configurar la replicación, puede cambiar los inicios de sesión y las contraseñas. Para más información, consulte View and Modify Replication Security Settings. Si cambia la contraseña de una cuenta usada por un agente de replicación, ejecute sp_changereplicationserverpasswords (Transact-SQL).

La compatibilidad con el uso de cuentas de servicio administradas de grupo (gMSA) se introdujo en SQL Server 2014. Para más información, vea el blog de Replicación y cuentas de servicio administradas de grupo.

Consulte también

Mitigar amenazas y vulnerabilidades (Replicación)Modelo de seguridad de agente de replicación
Procedimientos recomendados de seguridad de replicación