現在、イントラネットで利用できるようになる簡単なWebアプリを開発中です。アプリへのアクセスは「ユーザー」テーブルで制御されます。ネットワークログインがテーブルに存在する場合は、アプリを使用できます。
アプリ自体は、SQLデータベースを利用します。現在の開発セットアップでは、私たち全員が開発データベースの管理者であるため、完全なアクセス権があります。ただし、これが本番環境にデプロイされると、データベースへの認証のためのいくつかのオプションがあります。
適切な各ユーザーにデータに対する独自の資格情報を付与することは理にかなっていますか、それともユーザー全員がデータベース上の単一のアプリケーションレベルのユーザーアカウントを共有する必要がありますか?
アプリユーザーごとに個別のユーザーアカウントを作成すると、私の経験が複雑になります。設計する必要のあるセキュリティ仕様がない場合は、アプリの単一のログオンを作成し、データベースロールを作成し、ロールにアクセス許可を付与して、ロールにログオンを追加します。
このメソッドを使用する場合でも、ストアドプロシージャの入力パラメータとしてユーザー名を渡すことにより、ユーザーアクションを監査できます。
ユーザーごとのアクセス資格情報は、最小のユーザーベースを除くすべてのユーザーベースでロジスティックの悪夢を引き起こします。また、Web環境では問題が少し複雑になります。
私が見た(そして使用した)最も一般的なアプローチは、アプリケーションごとに専用ユーザーを使用することです。すべてのアクセスは、そのユーザー名/パスワードを介して行われます。
アプリケーションはどのような場合でも承認を実行するため、必要に応じてさまざまなアクションを実行するユーザー名を監査できます。