In SQL Anywhere 16.0 wird ein rollenbasiertes Sicherheitsmodell eingeführt. Während Sie zuvor Berechtigungen, Berechtigungen auf Objektebene und Gruppen hatten, gibt es nun Rollen, Systemprivilegien, Privilegien auf Objektebene und benutzererweiterte Rollen.

In Datenbanken vor Version 16.0 gab es Berechtigungen auf Datenbankebene. Ein Benutzer mit BACKUP-Berechtigung konnte beispielsweise die Datenbank sichern. In einigen solchen Berechtigungen wurden auch Berechtigungen auf Objektebene gebündelt. Ein Benutzer mit PROFILE-Berechtigung konnte beispielsweise Aufgaben für Anwendungsprofilerstellung und Datenbankprotokollierung ausführen, bei denen Systemprozeduren verwendet werden, die sonst nicht verfügbar sind. Sie konnten weder neue Berechtigungen erstellen noch die darin enthaltenen Berechtigungen ändern oder Berechtigungen löschen. Sie konnten Administrationsrechte (WITH GRANT) erteilen, aber die Erteilung nicht auf die Administrationsrechte beschränken.

Nun treten Rollen funktional an die Stelle der Berechtigungen, mit dem zusätzlichen Vorteil, dass Sie neue Rollen erstellen, die in Rollen enthaltenen Privilegien ändern und Rollen löschen können. Der Wechsel zu Rollen und Privilegien bedeutet, dass Sie eine bessere Kontrolle über die Privilegien haben, die Sie einem Benutzer erteilen möchten, und eine einfachere Methode, um sie anderen Benutzern zu erteilen. Außerdem können Sie die Rolle einem Benutzer nur mit Administrationsrechten erteilen, was bedeutet, dass der betreffende Benutzer die Rolle erteilen und entziehen, aber nicht die zugrunde liegenden Privilegien ausüben kann.

In Datenbanken vor Version 16.0 konnten Sie mit Berechtigungen Datenbankobjekte wie Tabellen, Ansichten oder Benutzer erstellen, ändern, abfragen, verwenden oder löschen. Sie konnten beispielsweise die SELECT-Berechtigung für eine Tabelle haben.

Nun treten Privilegien funktional an die Stelle der Berechtigungen, mit dem zusätzlichen Vorteil, dass es wesentlich mehr Privilegien gibt als Berechtigungen. Für jeden mit Privilegien verbundenen Vorgang, der auf ein Datenbankobjekt angewendet werden kann, gibt es ein erteilbares Privileg. Sie können Benutzern Privilegien einzeln erteilen oder ihnen eine Rolle erteilen. Der Begriff Berechtigung ist nicht verschwunden, wird aber etwas anders verwendet. Bisher bedeutete das Wort "Berechtigung" eine erteilbare Funktion. Nun bedeutet das Wort "Berechtigung" das Ergebnis einer Auswertung, ob ein Vorgang ausgeführt werden kann. Sie haben beispielsweise die Berechtigung zum Ändern einer Tabelle, wenn Sie der Eigentümer sind oder das ALTER ANY TABLE-Systemprivileg haben.

In Datenbanken vor Version 16.0 waren Gruppen Sammlungen von einem oder mehreren Benutzern, deren Berechtigungen durch die Einstellungen auf Gruppenebene bestimmt wurden. Einem Benutzer wurde Gruppenstatus erteilt und anderen Benutzern die Mitgliedschaft in dieser Gruppe.

Das Gruppenkonzept spiegelt sich nun in den benutzererweiterten Rollen wider. Wenn ein Benutzer über Privilegien verfügt, die Sie anderen Benutzern erteilen möchten, können Sie den Benutzer zu einer benutzererweiterten Rolle erweitern und diese Rolle anderen Benutzern erteilen. Außerdem können Sie das Gruppenkonzept umsetzen, indem Sie eine eigenständige Rolle erstellen, die keiner Benutzer-ID zugeordnet ist, aber die Rollen und Privilegien hat, die Sie Benutzern erteilen möchten.

Während des Upgrades einer Datenbank vor Version 16.0 wird die bestehende Berechtigungs- und Gruppenhierarchie automatisch in eine äquivalente Hierarchie aus Rollen, Privilegien und benutzererweiterten Rollen konvertiert. Für jede Berechtigung auf Datenbankebene vor Version 16.0 gibt es eine äquivalente Kompatibilitätsrolle. Diese Rollen sind in der Datenbank einfach zu erkennen, da ihre Namen mit SYS_AUTH beginnen. Kompatibilitätsrollen enthalten die Systemprivilegien, die Benutzer vor Version 16.0 benötigen, um die dieselben Vorgänge ausführen zu können wie mit den bisherigen Berechtigungen.

 Siehe auch