利用Oracle VPD(虚拟专用数据库)实现类似EBS R12里的多OU屏蔽

最新推荐文章于 2023-06-06 16:33:27 发布
最新推荐文章于 2023-06-06 16:33:27 发布
阅读量123 收藏
点赞数
文章标签: 数据库

EBS R11通过建立带有CLIENT_INFO过滤条件的视图来实现多OU屏蔽,

而R12使用的则是VDP(Virtual Private Database)来实现,关联的package是MO_GLOBAL,ORG_SECURITY。

 

假设我们想让员工只能查看到本部门的所有员工信息:

没有应用VDP之前:

select * from scott.emp; ----------------------------------------------------------------------------- 7369 SMITH CLERK 7902 12/17/1980 00:00:00 800 20 7499 ALLEN SALESMAN 7698 02/20/1981 00:00:00 1600 300 30 7521 WARD SALESMAN 7698 02/22/1981 00:00:00 1250 500 30 7566 JONES MANAGER 7839 04/02/1981 00:00:00 2975 20 7654 MARTIN SALESMAN 7698 09/28/1981 00:00:00 1250 1400 30 7698 BLAKE MANAGER 7839 05/01/1981 00:00:00 2850 30 7782 CLARK MANAGER 7839 06/09/1981 00:00:00 2450 10 7788 SCOTT ANALYST 7566 04/19/1987 00:00:00 3000 20 7839 KING PRESIDENT 11/17/1981 00:00:00 5000 10 7844 TURNER SALESMAN 7698 09/08/1981 00:00:00 1500 0 30 7876 ADAMS CLERK 7788 05/23/1987 00:00:00 1100 20 7900 JAMES CLERK 7698 12/03/1981 00:00:00 950 30 7902 FORD ANALYST 7566 12/03/1981 00:00:00 3000 20 7934 MILLER CLERK 7782 01/23/1982 00:00:00 1300 10


应用VPD之后(员工查询的时候不需加任何条件,VPD会通过query rewrite自动附加对应的过滤条件):

select * from scott.emp; ----------------------------------------------------------------------------- 7782 CLARK MANAGER 7839 06/09/1981 00:00:00 2450 10 7839 KING PRESIDENT 11/17/1981 00:00:00 5000 10 7934 MILLER CLERK 7782 01/23/1982 00:00:00 1300 10


什么是VPD?

VPD是由应用程序上下文(application context)和细粒度访问控制(fine-grained access control)共同实现的一套可以精确到行(RLS,row level security)和列的安全策略。

 

具体实现

 

这里以scott用户示例,首先创建application context:

CONNECT scott/tiger


为方便以后手动设置context,这里先加一个set_dept_info,因为如果dbms_session.set_context不放到context关联的package里面会报ORA-01031: insufficient privileges:
http://asktom.oracle.com/pls/asktom/f?p=100:11:0::::P11_QUESTION_ID:1288401763279#3056702265218

 

创建application context所需的package:

CREATE OR REPLACE PACKAGE scott_context
AS
  PROCEDURE set_deptno;

  PROCEDURE set_dept_info (p_name IN VARCHAR2, p_value IN VARCHAR2);
END scott_context;

CREATE OR REPLACE PACKAGE BODY scott_context
AS
  PROCEDURE set_deptno
  IS
    l_deptno   NUMBER;
  BEGIN
    SELECT deptno
      INTO l_deptno
      FROM scott.emp
     WHERE UPPER (ename) = SYS_CONTEXT ('USERENV', 'SESSION_USER');

    DBMS_SESSION.set_context ('dept_info', 'deptno', l_deptno);
  END set_deptno;

  PROCEDURE set_dept_info (p_name IN VARCHAR2, p_value IN VARCHAR2)
  AS
  BEGIN
    DBMS_SESSION.set_context ('dept_info', p_name, p_value);
  END set_dept_info;
END scott_context;

 

赋予scott CREATE ANY CONTEXT权限:

CONNECT system/oracle

GRANT CREATE ANY CONTEXT TO scott;

 

创建application context:

CONNECT scott/tiger

CREATE CONTEXT dept_info USING scott.scott_context;

 

创建FGAC所需package:

CREATE OR REPLACE PACKAGE scott_security
AS
  FUNCTION deptno_sec (a1 VARCHAR2, a2 VARCHAR2)
    RETURN VARCHAR2;
END scott_security;

 

CREATE OR REPLACE PACKAGE BODY scott_security
AS
  FUNCTION deptno_sec (a1 VARCHAR2, a2 VARCHAR2)
    RETURN VARCHAR2
  IS
    l_predicate   VARCHAR2 (2000);
  BEGIN
    l_predicate := 'deptno=SYS_CONTEXT(''dept_info'',''deptno'')';
    RETURN l_predicate;
  END deptno_sec;
END scott_security;

 

将FGAC的package与表关联:

CONNECT system/oracle

BEGIN
  DBMS_RLS.add_policy (object_schema       => 'scott'
                      ,object_name         => 'emp'
                      ,policy_name         => 'dept_policy'
                      ,function_schema     => 'scott'
                      ,policy_function     => 'scott_security.deptno_sec'
                      ,statement_types     => 'select'
                      );
END;

 

查看刚刚建好的VPD policy:

SELECT object_name
      ,policy_name
      ,sel
      ,ins
      ,upd
      ,del
      ,ENABLE
  FROM all_policies;
-----------------------------------------------------------------------------
EMP                            DEPT_POLICY                    YES NO  NO  NO  YES

 

将FGAC package的执行权限赋予public:

GRANT EXECUTE ON scott.scott_security TO public;

 

测试:

exec scott_context.set_dept_info('deptno',10);

select deptno from scott.emp;

    DEPTNO
----------
        10
        10
        10

 

通过LOGON触发器我们可以在用户登录的时候就直接设置好context值:

CREATE OR REPLACE TRIGGER scott.security_context
  AFTER LOGON ON DATABASE
BEGIN
  scott_context.set_deptno;
END;

 

REF:

1. <<Expert Oracle Database 11g Administration>> Page 578, Fine-Grained Data Access

2. http://asktom.oracle.com/pls/asktom/f?p=100:11:0::::P11_QUESTION_ID:1288401763279#3056702265218

weixin_33814685
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle虚拟私有数据库VPD)概述及简单举例
cuidan1640的博客
06-25 443
Oracle虚拟私有数据库VPD)概述及简单举例[@more@]Oracle虚拟私有数据库VPD)概述及简单举例1、Oracle虚拟私有数据库VPD)概述VPD提供了比角色和视图更好的行级访问控制。例如在internet访...
怎样用模拟登陆查询ou屏蔽的视图
u012085492的专栏
11-06 287
1. BEGIN   fnd_global.APPS_INITIALIZE(user_id=>2411,resp_id=>50647,resp_appl_id=>20003);   MO_GLOBAL.set_policy_context('S',122);--ou END;
oracle行列级权限控制(VPD
m0_51192710的博客
06-06 1442
限制访问PDM用户下的表TEST_VPD,政策名称为LIMITED_QUERY_LINE,政策函数为PDM用户下的F_LIMITED_QUERY_LINE,政策类型为SELECT类型,启用该FGAC规则END;SEC_RELEVANT_COLS 要屏蔽的列(用逗号隔开)SEC_RELEVANT_COLS_OPT =>DBMS_RLS.ALL_ROWS说明对所有记录屏蔽该列END;
OracleVPD介绍
weixin_33998125的博客
05-29 295
1、什么是VPD?虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行级访问控制。对于互联网访问,虚拟专用数据库可以确保在线银行的客户只能看到他们自己的帐户。Web 托管公司可以在同一Oracle 数据库中维护多个公司的数据,但只允许每个公司查看其自身数据。在企业内部,虚拟数据库可在应用程序部署方面降低拥有成本。可以在数据库服务器一次实现安全性,而不用在访问数据的每个应用...
[精]Oracle VPD详解(虚拟专用数据库)
热门推荐
苏南生的CSDN博客
09-19 1万+
所谓虚拟专用数据库VPD)指的是,通过在数据库进行配置,从而让不同的用户只能查看某 个表的部分数据。VPD分为以下两个级别。 行级别:在该级别下,可以控制某些用户只能查看到某些数据行。比如,对于销售数据表sales 来说,每个销售人员只能检索出他自己的销售数据,不能查询其他销售人员的销售数据。 列级别:在该级别下,可以控制某些用户不能检索某个表的某个列的值。比如用户HR 下的 employe
oracle 虚拟专用数据库详细介绍
09-09
Oracle虚拟专用数据库(Virtual Private Database, VPD)是一种高级安全机制,它允许数据库管理员限制不同用户访问特定的数据,实现细粒度的访问控制。VPD主要用于保护敏感信息,确保数据隔离,使得用户只能看到他们...
Oracle虚拟专用数据库实现及应用.pdf
10-09
Oracle虚拟专用数据库VPD,Virtual Private Database)是一种高级安全特性,它允许数据库管理员(DBA)在数据库层面上实施细粒度的访问控制策略。VPD 的核心思想是通过在每个查询上自动添加安全过滤条件,从而限制...
基于Oracle虚拟专用数据库的用户管理设计.pdf
10-10
Oracle虚拟专用数据库VPD,Virtual Private Database)是一种高级安全特性,它允许数据库管理员实现细粒度访问控制,确保每个用户只能看到他们被授权的数据。VPD通过在数据行级别实施安全策略,使得用户看到的数据...
基于Oracle VPD技术实现系统可配置数据屏蔽.pdf
10-09
Oracle VPD(Virtual Private Database)技术是Oracle数据库提供的一种安全机制,它允许数据库根据用户的上下文信息动态地修改SQL查询,实现数据的行级访问控制。这种技术的主要目的是确保敏感数据的安全,同时简化...
vpd列级权限控制举例
07-15
oracle数据安全介绍与简明使用之:vpd列级权限控制举例
Oracle数据库VPD来确保信息的隐私
03-03
Oracle8i中引入的Oracle行级安全性(row-level security,RLS)特性提供了细粒度的访问控制--细粒度意味着是在行一级上进行控制。行级安全性不是向对表有任何访问权限的用户打开整张表,而 是将访问限定到表中特定的行。其结果就是每个用户看到完全不同的数据集--只能看到那些该用户被授权可以查看的数据--所有这些功能有时被称为的 Oracle虚拟专有数据库(或称为VPD)特性。本文说明如何建立VPD安全性模型。描述了银行通过创建函数、制定政策、然后测试结果来描述整个建立过程。
Oracle-VPD
belief1117的专栏
07-17 141
  Oracle权限控制 采用oracle的dbms_rls包实现数据访问控制 在大部份系统中,权限控制主要定义为模块进入权限的控制和数据列访问权限的控制(如:某某人可以进入某个控制,仓库不充许查看有关部门的字段等等)。  但在某些系统中,权限控制又必须定义到数据行访问权限的控制,此需求一般出现在同一系统,不同的相对独立机构使用的情况。(如:集团下属多个子公司,所有子公司使用...
oracle vpd策略,oracle vpd 策略查询
weixin_34771903的博客
04-10 937
Oracle VPD策略示例 - abce - 博客园2015年12月14日Oracle VPD策略示例 1.未创建前使用oe用户登录查询: + View Code + View Code 2.创建VPD策略 以sys用户用sysdba权限登录pdb2 2.1.创建策略函数 + View...oracle vpd 策略查询_文档之家这与Oracle VPD实现相反,Oracle VPD 的实...
[Oracle] 数据库安全之 - 虚拟私有数据库VPD
Zhu_Julian's Notes (朱显杰的技术博客)
06-09 4213
Oracle的安全分为四大部分,分别是用户管理、访问控制、数据保护和监控,具体可参考《[Oracle] 数据库安全概述》http://blog.csdn.net/u010415792/article/details/9008089 今天着重讲讲访问控制中一种常见的技术VPDVPD的全称是Virtual Private Database 虚拟私有数据库,它在Oracle 8i时就出现了,是Ora
Oracle VPD
chncaesar的专栏
01-20 5753
VPD = Virtual Private Database。同义词有RLS : Row Level Security, FGAC: Fine Grained Access Control。 用于行级访问控制。假设有需求,只有用户'SCOTT'能访问emp表所有记录,其他人只能访问manager以下员工的记录。 CREATE FUNCTION emp_policy(schema_in IN
EBS VPD介绍和使用实例
Jane Chiu
11-30 2437
主要介绍VPDVPD的使用方法,后面结合了一下MOAC,全方位地解释了在MOAC中如何使用VPD
oracleVPD介绍
lifeneedyou的专栏
08-01 585
1什么是VPD? 虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行级访问控制。对于互联网访问,虚拟专用数据库可以确保在线银行的客户只能看到他们自己的帐户。Web 托管公司可以在同一 Oracle 数据库中维护多个公司的数据,但只允许每个公司查看其自身数据。 在企业内部,虚拟数据库可在应用程序部署方面降低拥有成本。可以在数据库服务器一次实现安全性,而不用在访问数据的每个应用程序中分别实...
EBS技术开发之VPD策略
weixin_30312557的博客
12-04 130
VPD虚拟专用数据库的简称),主要作用是根据运行环境的上下文,隐式的添加条 件。 好处是在数据库层解决细粒度的角色权限访问,避免在中间层写大量代码;坏处 是数据屏蔽的逻辑太隐蔽了,对于分析查找问题带来一定的困扰 一个简单的例子带你体验VPD策略 --1、在APPS 中创建表,赋权给PO, ONT用户 create table hand_vpd_test_tb1 (column1...
Oracle数据库安全配置规范华为.pdf
最新发布
10-07
- **术语和定义**:定义了如DBA(数据库管理员)、VPD虚拟专用数据库)和OLS(Oracle Label Security)等关键术语,这些术语在后续内容中会频繁出现。 - **符号和缩略语**:列出了一些常用的缩写,例如DBA代表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值