A method is provided for ensuring effective and accurate authentication and
authorization in an N-tier relational database management system. An
N-tier relational database management system comprises a set of clients,
one or more data servers and one or more middle-tier servers through which
the clients may access the data servers. A method is provided for enabling
a middle-tier server to connect to a data server and perform database
operations on behalf of a client while promoting the ability to ensure the
middle-tier server does not exceed its authorized privileges or roles. In
this method a middle-tier server first establishes a session with the data
server using the middle-tier server's own identity (e.g., username) and
verification (e.g., password). The middle-tier server may be granted
limited roles when acting under its own identity in order to prevent it
from performing unauditable or unaccountable operations on behalf of
clients. The middle-tier server receives from the data server a credential
that it provides when it needs to operate on behalf of a client. In this
method, after the middle-tier server establishes its own session and
receives a credential, it may then establish a session with the data
server using the identity (e.g., username) of a client. Instead of storing
and using the client's password, however, the middle-tier server presents
the credential to the data server as verification of its authorization to
access the database. The middle-tier server may then switch between
clients' sessions and its own session to perform database operations.
Un metodo è fornito per accertare l'autenticazione e l'autorizzazione efficaci ed esatte in un sistema di amministrazione della base di dati relazionale della N-fila. Un sistema di amministrazione della base di dati relazionale della N-fila contiene un insieme i clienti, uno o più assistenti di dati ed uno o più assistenti della centrale-fila tramite cui i clienti possono accedere agli assistenti di dati. Un metodo è fornito per permettere ad un assistente della centrale-fila di collegare ad un assistente di dati e di realizzare i funzionamenti della base di dati a nome di un cliente mentre promuovere la capacità di accertare l'assistente della centrale-fila non eccede i relativi privilegi o ruoli autorizzati. In questo metodo un assistente della centrale-fila in primo luogo stabilisce una sessione con l'assistente di dati usando la propria identità dell'assistente della centrale-fila (per esempio, username) e la verifica (per esempio, parola d'accesso). L'assistente della centrale-fila può essere assegnato i ruoli limitati quando si comporta sotto la relativa propria identità per impedirla realizzare i funzionamenti unauditable o unaccountable a nome dei clienti. L'assistente della centrale-fila riceve dall'assistente di dati lle credenziali che fornisce quando deve funzionare a nome di un cliente. In questo metodo, dopo che l'assistente della centrale-fila stabilisca la relativa propria sessione e ricevi lle credenziali, può allora stabilire una sessione con l'assistente di dati usando l'identità (per esempio, username) di un cliente. Invece di immagazzinare ed usando la parola d'accesso del cliente, tuttavia, l'assistente della centrale-fila presenta le credenziali all'assistente di dati come verifica della relativa autorizzazione accedere alla base di dati. L'assistente della centrale-fila può allora commutare fra le sessioni dei clienti e la relativa propria sessione per realizzare i funzionamenti della base di dati.