Créer des utilisateurs SQL

Nectari fournit des scripts SQL pour créer des utilisateurs dédiés avec des accès d'administrateur or limités. Vous devez exécuter les scripts après l'installation de Nectari. Ces utilisateurs seront dédiés à l'utilisation de Nectari pour les clients qui ne souhaitent pas donner les identifiants de leur sa. Un des avantages est que le mot de passe de l'utilisateur SQL n'a pas besoin d'être changé, contrairement à l'utilisateur sa qui est basé sur le système d'authentification de Windows.

Note

La création d'utilisateurs SQL dédiés est fortement recommandée pour des raisons de sécurité. Les utilisateurs SQL doivent être configurés avec des permissions restreintes sur le SQL Server. Ceci s'applique aux utilisateurs SQL qui se connecteront au Central Point, tout utilisateur SQL configuré dans la page Environnements et sources de données, et les utilisateurs SQL qui se connecteront à DataSync.

Note

Ces scripts doivent être exécutés par un utilisateur ayant des droits d'administration sur le serveur.

Effectuez ces étapes générales :

Étape 1 : Créer des utilisateurs administrateur SQL

Étape 2 : Créer des utilisateurs SQL avec des permissions minimales

Étape 3 : Ajouter les utilisateurs SQL dans Nectari

Scénarios additionnels :

Vous pouvez accorder des accès supplémentaires aux utilisateurs SQL ou leur refuser l'accès à des schémas spécifiques.

Vous pouvez aussi modifier leurs accès.

Étape 1 : Créer des utilisateurs administrateur SQL

Les utilisateurs administratifs auront accès à tous les composants :

  • Base de données de Nectari : Le script Nectari Configuration Database crée l'utilisateur Nectari.

  • BI License : Le script Nectari License Database crée l'utilisateur BILicense.

  • NectariCube : Le script Nectari Data Warehouse crée l'utilisateur NectariCube et donne des permissions à cet utilisateur pour chaque base de données.

  • Base de données du ERP : Le script X3 Production or replication database permet à l'utilisateur administratif d'accéder aux schémas de la base de données.

    Note

    Sage X3 est fournit comme exemple seulement. Vous devez modifier les paramètres en fonction de la base de données ERP que vous utilisez.

Le script s'applique aux composants qui sont installés sur le même serveur. Si certains composants sont installés sur différents serveurs, certaines parties du script doivent être exécutées sur des serveurs spécifiques. Par exemple, si Nectari est sur un serveur d'application, vous devez exécuter les scripts Nectari Configuration Database et Nectari License Database sur ce serveur. Si le NectariCube et la base de données du ERP sont sur un serveur de base de données, vous devez exécuter les scripts Nectari Data Warehouse et ERP Database sur ce serveur.

Pour créer un utilisateur administrateur :

  • Exécutez le script Administrative_user.sql. Reportez-vous aux instructions contenues dans le script pour fournir les noms d'utilisateur appropriés.

Copier 
/* Script to create users for Nectari with administrative permissions. Needs to be run from a user with administrative permissions on the server.
** Instructions:
**   - Replace "userWithAdministrativePermissions" with a name of your choosing for the SQL user
**   - Choose a password for this user
**   - Replace "NECTARI_CUSTOM_SCHEMA" with the name of the custom Nectari Schema (if unsure, check the Env. & Data Sources screen)
**   - Replace "X3FOLDER" with the name of the X3 folder used by Nectari (if unsure, check the Env. & Data Sources screen)
*/

CREATE LOGIN userWithAdministrativePermissions WITH PASSWORD = '' -- Creates SERVER user, part of default group public with minimum authorizations

-- Nectari Data Warehouse 
use [NectariCube] 
CREATE USER userWithAdministrativePermissions FOR LOGIN userWithAdministrativePermissions -- Creates DB user if a login exists at server level
ALTER ROLE db_ddladmin add member userWithAdministrativePermissions -- Manipulate objects on the Nectari warehouse DB (create, drop, ...). Can be more restrictive with REVOKE ALTER on SCHEMA :: [NECTARI_CUSTOM_SCHEMA] to userWithAdministrativePermissions
ALTER ROLE db_datareader add member userWithAdministrativePermissions -- Select
ALTER ROLE db_datawriter add member userWithAdministrativePermissions -- Insert/Update/Delete
GRANT EXEC to userWithAdministrativePermissions -- Execute stored procs of the DB

-- X3 Production or replication database
use [x3]
CREATE USER userWithAdministrativePermissions FOR LOGIN userWithAdministrativePermissions -- Creates DB user if a login exists at server level
GRANT ALTER on SCHEMA :: NECTARI_CUSTOM_SCHEMA to userWithAdministrativePermissions -- Gives full rights to alter custom Nectari schema objects
GRANT SELECT,INSERT,UPDATE,DELETE,EXEC on SCHEMA :: NECTARI_CUSTOM_SCHEMA to userWithAdministrativePermissions -- Grant full rights on custom Nectari Schema objects
GRANT SELECT on SCHEMA :: X3FOLDER to userWithAdministrativePermissions -- Gives read access to all tables of the X3 folder
GRANT CREATE TABLE to userWithAdministrativePermissions -- Gives permissions to create tables but only to the schemas have the ALTER authorization
GRANT ALTER on SCHEMA :: X3FOLDER to userWithAdministrativePermissions -- Gives permissions to create triggers

-- Nectari Configuration Database
use [NECTARI] 
CREATE USER userWithAdministrativePermissions FOR LOGIN userWithAdministrativePermissions -- Creates DB user if a login exists at server level
ALTER ROLE db_ddladmin add member userWithAdministrativePermissions -- Manipulate objects on the Nectari warehouse DB (create, drop, ...). Can be more restrictive with REVOKE ALTER on SCHEMA :: [NECTARI_CUSTOM_SCHEMA] to userWithAdministrativePermissions
ALTER ROLE db_datareader add member userWithAdministrativePermissions -- Select
ALTER ROLE db_datawriter add member userWithAdministrativePermissions -- Insert/Update/Delete

-- Nectari License Database
use [BILicense] 
CREATE USER userWithAdministrativePermissions FOR LOGIN userWithAdministrativePermissions -- Creates DB user if a login exists at server level
ALTER ROLE db_ddladmin add member userWithAdministrativePermissions -- Manipulate objects on the Nectari warehouse DB (create, drop, ...). Can be more restrictive with REVOKE ALTER on SCHEMA :: [NECTARI_CUSTOM_SCHEMA] to userWithAdministrativePermissions
ALTER ROLE db_datareader add member userWithAdministrativePermissions -- Select
ALTER ROLE db_datawriter add member userWithAdministrativePermissions -- Insert/Update/Delete

Étape 2 : Créer des utilisateurs SQL avec des permissions minimales

Les utilisateurs disposant de permissions minimales n'auront accès qu'à ces composants :

  • NectariCube : Le script Nectari Data Warehouse crée l'utilisateur NectariCube et donne des permissions à cet utilisateur pour chaque base de données.

  • Base de données du ERP : Le script X3 Production or replication database permet à l'utilisateur d'accéder aux schémas de la base de données.

    Note

    Sage X3 est fournit comme exemple seulement. Vous devez modifier les paramètres en fonction de la base de données ERP que vous utilisez.

Les utilisateurs avec des permissions minimales sont l'accès SELECT pour toutes les tables. Vous pouvez exclure l'accès à des tables spécifiques un utilisant le paramètre DENY SELECT.

Pour créer un utilisateur avec des permissions minimales :

  • Exécutez le script MinimumPermissions_user.sql. Reportez-vous aux instructions contenues dans le script pour fournir les noms d'utilisateur appropriés.

Copier 
/* Script to create restricted users for Nectari with minimum permissions. Needs to be run from a user with administrative permissions on the server.
** Instructions:
**   - Replace "userWithMinimumPermissions" with a name of your choosing for the SQL user
**   - Choose a password for this user
**   - Replace "NECTARI_CUSTOM_SCHEMA" with the name of the custom Nectari Schema (if unsure, check the Env. & Data Sources screen)
**   - Replace "X3FOLDER" with the name of the X3 folder used by Nectari (if unsure, check the Env. & Data Sources screen)
**   - Uncomment the optional statements as needed
**   - If desired, add as many DENY statements at the end to specifically deny access to individual tables
**   - In the last section, add as many deny statements as necessary
*/

CREATE LOGIN userWithMinimumPermissions WITH PASSWORD = '' -- Creates SERVER user, part of default group public with minimum authorizations

-- Nectari Data Warehouse 
use [NectariCube] 
CREATE USER userWithMinimumPermissions FOR LOGIN userWithMinimumPermissions -- Creates DB user if a login exists at server level
ALTER ROLE db_datareader add member userWithMinimumPermissions -- Select
ALTER ROLE db_datawriter add member userWithMinimumPermissions -- Insert/Update/Delete
GRANT EXEC to userWithMinimumPermissions -- Execute stored procs of the DB
-- ALTER ROLE db_ddladmin add member userWithMinimumPermissions -- Optional: Manipulate objects on the Nectari warehouse DB (create, drop, ...). Can be more restrictive with REVOKE ALTER on SCHEMA :: [NECTARI_CUSTOM_SCHEMA] to userWithMinimumPermissions - useful only when users are given the permission to create tables through stored procs

-- X3 Production or replication database
use [x3]
CREATE USER userWithMinimumPermissions FOR LOGIN userWithMinimumPermissions -- Creates DB user if a login exists at server level
GRANT SELECT,INSERT,UPDATE,DELETE,EXEC on SCHEMA :: NECTARI_CUSTOM_SCHEMA to userWithMinimumPermissions -- Grant full rights on custom Nectari Schema objects
GRANT SELECT on SCHEMA :: X3FOLDER to userWithMinimumPermissions -- Gives read access to all tables of the X3 folder
-- GRANT ALTER on SCHEMA :: NECTARI_CUSTOM_SCHEMA to userWithMinimumPermissions -- Optional: Gives full rights to alter custom Nectari schema objects - useful only when users are given the permission to create tables through stored procs
-- ADD HERE a deny statement for each sensitive table we want to prevent the users from accessing
DENY SELECT on X3FOLDER.TABLENAME to userWithMinimumPermissions

Étape 3 : Ajouter les utilisateurs SQL dans Nectari

Après avoir créé les utilisateurs, vous devez les ajouter dans Nectari.

Pour configurer les utilisateurs de l'entrepôt de données Nectari et les utilisateurs de la base de données ERP :

  1. Dans la section Administration , cliquez sur Env. & Sources de données dans le panneau de gauche.

  2. Créez deux environnements tel que décrit dans Environnements et sources de données : Production et Administration.

    • Les sources de données seront le Cube et votre ERP (X3 dans notre exemple) pour chaque environnement.

    • Pour l'environnement Administration, saisissez les informations d'identification de l'utilisateur administrateur pour le schéma Nectari.

    • Pour l'environnement Production, saisissez les informations d'identification de l'utilisateur administrateur et de l'utilisateur disposant des autorisations minimales pour le schéma Nectari.

  3. Enregistrez chaque environnement.

Pour configurer les utilisateurs de la base de données Nectari et les utilisateurs de la base de données BILicense :

  1. Connectez-vous au Configurateur du Central Point.

  2. Dans les sections Source de données et Source de données de la licence, remplissez les champs Nom d'utilisateur et Mot de passe avec les identifiants de l'utilisateur administrateur.

  3. Cliquez sur Mettre à jour la configuration.

Donner accès à un nouveau schéma de base de données

Dans les cas où un schéma de base de données est ajouté, vous devez accorder à l'utilisateur disposant des permissions minimales l'accès au nouveau schéma.

  • Exécutez la commande GRANT SELECT on SCHEMA dans le script X3 Production or Replication database pour chaque nouveau schéma.

    Exemple

    Nous avons un schéma de base de données appelé TEST et nous donnons l'accès à l'utilisateur produser1.

    GRANT SELECT on SCHEMA :: TEST to produser1

Refuser l'accès à un schéma de base de données

Pour refuser l'accès à un schéma à un utilisateur disposant de permissions minimales :

  • Exécutez la commande DENY SELECT dans le script X3 Production or Replication database pour chaque table appropriée.

    Exemple

    Nous refusons l'accès à trois tables pour l'utilisateur produser1.

    DENY SELECT on SEED.GACCENTRYD to produser1

    DENY SELECT on SEED.GACACCOUNT to produser1

    DENY SELECT on SEED.GACCDUDATE to produser1

Modifier des accès

Vous pouvez fournir des accès supplémentaires afin que les utilisateurs puissent modifier des objets personnalisés de Nectari, tels que :

  • Modifier des objets personnalisés de schéma Nectari : Utilisez la commande GRANT ALTER on SCHEMA dans le script X3 production or replication database.

    Exemple

    Nous donnons les droits complets à l'utilisateur administrateur adminuser1 de pouvoir modifier des objets personnalisés de schéma en utilisant le script Administrative_user.sql.

    GRANT ALTER on SCHEMA :: NECTARI_CUSTOM_SCHEMA to adminuser1

  • Modifier les structures des tables dans le Cube : Utilisez la commande ALTER ROLE dans le script Nectari Data Warehouse.

    Exemple

    Nous fournissons des droits d'insertion, de mise à jour et de suppression à l'utilisateur avec des autorisations minimales produser1 en utilisant le script MinimumPermissions_user.sql.

    ALTER ROLE db_datawriter add member produser1