Ce dont vous avez besoin, c'est de signer la procédure.
Permettez-moi d'emprunter la configuration du lien fourni par M.Ali dans son commentaire (Autorisations utilisateur SQL Server sur les procédures stockées et les tables sous-jacentes ):
use Test
go
if exists (select * from sys.syslogins where name = 'UserA')
drop login UserA
create login UserA with password = 'Welcome'
if exists (select * from sys.syslogins where name = 'UserB')
drop login UserB
create login UserB with password = 'Welcome'
if exists (select * from sys.syslogins where name = 'UserC')
drop login UserC
create login UserC with password = 'Welcome'
if exists (select * from sys.tables where name = 'Customers' and schema_name(schema_id) = 'SchemaA')
drop table SchemaA.Customers
if exists (select * from sys.schemas where name = 'SchemaA')
drop schema SchemaA
if exists (select * from sys.sysusers where name = 'UserA')
drop user UserA
if exists (select * from sys.tables where name = 'Orders' and schema_name(schema_id) = 'SchemaB')
drop table SchemaB.Orders
if exists (select * from sys.procedures where name = 'GetCustomerOrderInfo' and schema_name(schema_id) = 'SchemaB')
drop procedure SchemaB.GetCustomerOrderInfo
if exists (select * from sys.schemas where name = 'SchemaB')
drop schema SchemaB
if exists (select * from sys.sysusers where name = 'UserB')
drop user UserB
if exists (select * from sys.sysusers where name = 'UserC')
drop user UserC
create user UserA for login UserA
alter role db_owner add member UserA
go
create schema SchemaA authorization UserA
go
create user UserB for login UserB
alter role db_owner add member UserB
go
create schema SchemaB authorization UserB
go
create user UserC for login UserC
create table SchemaA.Customers (id int identity)
create table SchemaB.Orders (id int identity, CustomerId int)
go
create procedure SchemaB.GetCustomerOrderInfo
as
select *
from SchemaB.Orders o
join SchemaA.Customers c
on c.id = o.CustomerId
go
C'était la configuration, merci à Andomar.
Nous pouvons donner à UserC l'autorisation d'exécution sur la procédure :
grant execute on SchemaB.GetCustomerOrderInfo to UserC
execute as login = 'UserC'
exec SchemaB.GetCustomerOrderInfo
-- The SELECT permission was denied on the object 'Customers', database 'Test', schema 'SchemaA'.
revert
Ce n'était pas assez bon. Ce que nous pouvons faire, c'est créer un certificat dans la base de données, un utilisateur de base de données sur ce certificat, donner à cet utilisateur les autorisations appropriées (rôle db_owner dans cet exemple), puis signer la procédure avec le certificat :
create certificate cert_raiser
encryption by password = 'pGFD4bb925DGvbd2439587y'
with subject = 'raiser',
expiry_date = '01/01/2114';
go
create user cert_user from certificate cert_raiser
go
alter role db_owner add member cert_user
go
add signature to SchemaB.GetCustomerOrderInfo
by certificate cert_raiser
with password = 'pGFD4bb925DGvbd2439587y';
go
Cela devrait fonctionner correctement maintenant.
Points à retenir :l'utilisateur créé sur le certificat ne peut pas être utilisé comme un utilisateur normal, il n'y a pas de login avec et ce n'est pas un problème de sécurité; toutes les autorisations que nous donnons à cet utilisateur seront ajoutées au contexte dans lequel la procédure est exécutée lorsque nous ajoutons une signature ; Si nous modifions la procédure, nous devons la signer à nouveau.