Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.

SAP Sybase SQL Anywhere 16.0 (Deutsch) » SQL Anywhere Server - Datenbankadministration » Benutzer- und Datenbanksicherheit » Benutzersicherheit (Rollen und Privilegien)

 

Impersonierung

Ein Benutzer kann vorübergehend die Identität eines anderen Benutzers in der Datenbank annehmen (sogenannte Impersonierung), um Vorgänge auszuführen, sofern er eine Obermenge der Privilegien des zu impersonierenden Benutzers hat. Diese Einschränkung wird als die Mindestkriterien bezeichnet und gilt auch für Administrationsrechte und Privilegien auf Objektebene. Wenn ein Benutzer nicht mindestens dieselben Privilegien und Administrationsrechte hat wie der zu impersonierende Benutzer, kann er diesen nicht impersonieren.

Möglicherweise fragen Sie sich nun, warum ein Benutzer, der die Mindestkriterien erfüllt und sogar übertrifft, nicht einfach die Vorgänge selbst ausführt, statt für diesen Zweck einen anderen Benutzer zu impersonieren. Die Antwort darauf lautet: Wenn der impersonierende Benutzer mehr Privilegien hat als für die Aufgabe erforderlich, können die zusätzlichen Berechtigungen Auswirkungen auf die Ausgabe der Aufgabe haben. Durch das Impersonieren des Benutzers, der die Aufgabe normalerweise ausführt, wird dies verhindert. Ziel ist es, genau die Privilegien, und möglicherweise auch Datenbankoptionen, zu simulieren, die für den impersonierten Benutzer in Kraft sind.

Die Möglichkeit, einen anderen Benutzer zu impersonieren, wird durch das SET USER-Systemprivileg gesteuert. Beim Erteilen des SET USER-Systemprivilegs können Sie konfigurieren, wen der betreffende Benutzer impersonieren kann:

  • alle Benutzer in der Datenbank

  • Benutzer aus einer angegebenen Liste von Benutzern

  • Benutzer, die Berechtigungsempfänger von mindestens einer Rolle aus einer angegebenen Liste von Rollen sind

Die Mindestkriterien werden nicht zu dem Zeitpunkt ausgewertet, zu dem das SET USER-Systemprivileg erteilt wird. Stattdessen werden sie ausgewertet, wenn ein Benutzer versucht, einen anderen Benutzer zu impersonieren, indem er eine SETUSER-Anweisung ausführt.

Während einer Impersonierungssitzung werden GRANT- oder REVOKE-Vorgänge, durch die die Mindestkriterien verletzt würden, vom Datenbankserver nicht zugelassen. Es wird eine Fehlermeldung zurückgegeben, die anzeigt, dass der GRANT- bzw. REVOKE-Vorgang nicht fortgesetzt werden kann.

 Beispiel
 Weitere Hinweise zur Impersonierung
 Siehe auch

Details zu den Mindestkriterien für die Impersonierung