Neu Connector - benötigte Berechtigungen

[SebiW]

Wir binden gerade den SaaS Connector an ein SW 6 Testsystem an. Die Doku des Connectors sagt dazu:

Wählen Sie aus dem Dropdown-Menü eine Rolle, die alle benötigten Berechtigungen besitzt. Mehr zum Thema Rollen in Shopware 6 lesen Sie hier.

gefolgt von:

Alternative: Sie können an dieser Stelle auch die Option Administrator aktivieren. In diesem Fall ist es nicht notwendig, eine eigene Rolle für den JTL-Connector auszuwählen, die die benötigten Rechte hat.

Okay. Danke. Und wo sind nun bitte die benötigten Berechtigungen des Connectors dokumentiert? ARGH!

 

[mh1]

Was ist falsch an Administrator?
Die Wawi ist eh das führende System in dem Zusammenspiel.

 

[SebiW]

Das gleiche was falsch ist am sa user wenn ich auf den SQL Server connecte. Es widerspricht einfach meinem analen Sicherheitsbedürfnis Rechte zu vergeben, die nicht benötigt werden.
Wofür gibts n Rechtemanagment wenn am Ende eh immer alles auf "jeder darf alles" gesetzt wird. Kann ich auch gleich mit nemm Admin Konto ohne Passwort surfen.

Und wieso schreibt JTL in der eigenen Doku explizit davon, dass die benötigten Berechtigungen gesetzt werden müssen, nur um die dann nicht zu nennen und im nächsten Satz dann nonchalant "aber gib einfach alle Rechte, passt schon Brudi, kannst vertrauen" nachzuschieben.

Sowas macht mich irre

 

[mh1]

Das gleiche was falsch ist am sa user wenn ich auf den SQL Server connecte. Es widerspricht einfach meinem analen Sicherheitsbedürfnis Rechte zu vergeben, die nicht benötigt werden.
Wofür gibts n Rechtemanagment wenn am Ende eh immer alles auf "jeder darf alles" gesetzt wird. Kann ich auch gleich mit nemm Admin Konto ohne Passwort surfen.

Seh ich eigentlich auch so.
Aber da die Wawi eh federführend, also der Connector quasi der Herr über Shopwares Datenbank ist, kann er meiner Ansicht nach auch Shopwares Admin Rolle zugeordnet werden.

Wenn du aber trotzdem (verständlicherweise) nur minimale Rechte vergeben willst, musst du dich vortasten, weil das JTL nicht dokumentiert. Ich würde ihn dazu erstmal die Anwender Rolle zuweisen und im Log mitlesen, ob es Abfragen gibt, die nicht tun.
Aber das ganze erstmal auf einem Testsystem ausführen. Nicht das der Connector einen Teil in die DB schreibt, nur um dann abzubrechen und in deiner Produktiv Wawi kommen halbe/defekte Daten an.
Klingt nach viel Aufwand, deshalb siehe mein erster Absatz (ich hatte nämlich vor Jahren den gleichen Gedanken )

Das gleiche was falsch ist am sa user wenn ich auf den SQL Server connecte.

Das widerspricht auch meinem Sicherheitsverständnis. Deshalb hab ich hierbei uns mehrere Datenbankuser für verschiedene Aufgaben.

 

[SebiW]

Das widerspricht auch meinem Sicherheitsverständnis. Deshalb hab ich hierbei uns mehrere Datenbankuser für verschiedene Aufgaben.

Jupp, mache ich auch so. Insbesondere für die mobilen Geräte die auch mal das Haus verlassen. Wenn da ein Laptop doch mal abhanden kommt habe ich kaskadierend OpenVPN weg (womit Zugriffe auf unseren SQL eigentlich eh schon aus sind, spielt nur mit lokalen Netzwerkadressen) und jeweils nenn individuellen SQL Nutzer mit beschränkten Rechten und natürlich individuelle JTL User. Insbesondere weil das auf der Ebene auch keine große Sache ist. Einrichten, läuft, hurrah, nie wieder dran denken.

Ist halt ziemlich klar dass JTL hier keine Lust hat die Manpages zu pflegen und deshalb lieber nicht reinschreibt welche Rechte gebraucht werden, falls die sich mal ändern sollten. Sowas nervt