Seguridad de transferencia

La seguridad de transferencia es la capacidad para conectarse a un servicio de datos SQL o a un origen externo con las credencias de usuario del cliente en lugar de hacerlo con las credenciales de un objeto de conexión.

Los usuarios pueden tener acceso a diferentes conjuntos de datos en función del cargo que desempeñen en la organización. Los sistemas cliente limitan el acceso a las bases de datos por el nombre de usuario y la contraseña. Cuando cree un servicio de datos SQL, puede combinar datos de diferentes sistemas para crear una vista de los datos. Cuando defina la conexión con el servicio de datos de SQL, sin embargo, la conexión tendrá un nombre de usuario y contraseña.

Si configura la seguridad de transferencia, puede limitar el acceso de los usuarios a algunos datos en un servicio de datos SQL en función del nombre de usuario. Cuando un usuario se conecta al servicio de datos SQL, el servicio de integración de datos no tiene en cuenta el nombre de usuario y la contraseña del objeto de conexión. El usuario se conecta con el nombre de usuario del cliente o con el nombre de usuario LDAP.

Es posible que una asignación de operación de servicio web tenga que usar un objeto de conexión para tener acceso a los datos. Si configura la seguridad de transferencia y el servicio web usa WS-Security, la asignación de la operación del servicio web se conecta al origen con el nombre de usuario y la contraseña que se proporcionan en la solicitud SOAP del servicio web.

Configure la seguridad de transferencia para una conexión en las propiedades de conexión de Administrator Tool o con infacmd dis UpdateServiceOptions. Puede definir la seguridad de transferencia para las conexiones con aplicaciones implementadas. No puede definir la seguridad de transferencia en Developer Tool. Solo los servicios de datos SQL y los servicios web reconocen configuración de exclusión de seguridad.

Para obtener más información sobre la configuración de la seguridad para los servicios de datos SQL, consulte el artículo "How to Configure Security for SQL Data Services" en la biblioteca de procedimientos de Informatica (Informatica How-To Library): http://communities.informatica.com/docs/DOC-4507.

Ejemplo

Una organización combina datos de empleados de varias bases de datos para presentar una sola vista de datos de empleados en un servicio de datos SQL. El servicio de datos SQL contiene datos de las bases de datos de empleados y de compensaciones. La base de datos de empleados contiene el nombre, la dirección e información sobre el departamento. La base de datos de compensaciones contiene información sobre el salario y las opciones de compra de acciones.

Es posible que un usuario tenga acceso a la base de datos de empleados pero no a la base de datos de compensaciones. Cuando el usuario ejecuta una consulta en el servicio de datos SQL, el servicio de integración de datos reemplaza las credenciales de todas las conexiones de la base de datos con el nombre y la contraseña del usuario. La consulta genera un error si el usuario incluye información sobre salarios de la base de datos de compensaciones.

Seguridad de transferencia con memoria caché de objetos de datos

Para usar la memoria caché de objetos de datos con exclusión de seguridad, debe habilitar la memoria caché en las propiedades de exclusión de seguridad del servicio de integración de datos.

Cuando implemente un servicio de datos SQL o un servicio web, podrá elegir almacenar en caché los objetos de datos lógicos de una base de datos. Es preciso especificar la base de datos en la que se almacenará la memoria caché de objetos de datos. El servicio de integración de datos valida las credenciales de usuario para acceder a la base de datos de la memoria caché. Si un usuario se puede conectar con la base de datos de la memoria caché, tendrá acceso a todas las tablas de la memoria caché. El servicio de integración de datos no valida las credenciales de usuario en las bases de datos de origen cuando se habilita la memoria caché.

Supongamos, por ejemplo, que configura la memoria caché del servicio de datos SQL EmployeeSQLDS y habilita la exclusión de seguridad para las conexiones. El servicio de integración de datos almacena en memoria caché las tablas de las bases de datos de compensaciones y empleados. Un usuario podría no tener acceso a la base de datos de compensaciones. Sin embargo, si tiene acceso a la base de datos de la memoria caché, el usuario puede seleccionar datos de compensaciones en una consulta SQL.

Cuando se configura la exclusión de seguridad, de manera predeterminada no se permite el almacenamiento en caché de objetos de datos que dependan de conexiones con exclusión de seguridad. Cuando habilite la memoria caché de objetos de datos con exclusión de seguridad, compruebe que no se permita a usuarios no autorizados el acceso a algunos de los datos de la memoria caché. Cuando habilite la memoria caché para conexiones con exclusión de seguridad, se habilitará la memoria caché de objetos de datos para todas las conexiones con exclusión de seguridad.

Cómo añadir exclusión de seguridad

Habilite la exclusión de seguridad de una conexión en las propiedades de conexión. Habilite la memoria caché de objetos de datos para las conexiones de exclusión de seguridad en las propiedades de exclusión de seguridad del servicio de integración de datos.