SAP Сигурност на HANA: Пълен урок

Какво е Sap Hana Security?

SAP HANA Security защитава важни данни от неоторизиран достъп и гарантира, че стандартите и съответствието отговарят на стандартите за сигурност, приети от компанията.

SAP HANA предоставя възможност, т.е. Multitenant база данни, в която множество бази данни могат да бъдат създадени на една SAP Система HANA. Известен е като мултитенантен контейнер на база данни. И така SAP HANA предоставя всички функции, свързани със сигурността, за всички мултитенантни контейнери на база данни.

SAP ХАНА Осигурете следната функция, свързана със сигурността –

  • Управление на потребители и роли
  • Упълномощаване
  • заверка
  • Шифроване на данни в Persistence Layer
  • Криптиране на данни в мрежовия слой

SAP Потребител и роля на HANA

SAP Конфигурацията за управление на потребители и роли на HANA зависи от архитектурата, както е показано по-долу –

  1. 3-Tier Archiтекстура.

    SAP HANA може да се използва като релационна база данни в 3-ниво Archiтекстура.

    В тази архитектура функциите за сигурност (упълномощаване, удостоверяване, криптиране и одит) са инсталирани на слоевете на сървъра на приложения.

    SAP приложение (ERP, BW и т.н.) се свързва с база данни само с помощта на технически потребител или администратор на база данни (Basis Person). Крайният потребител няма директен достъп до база данни или сървър на база данни.

SAP HANA 3 нива Archiтекстура

  1. 2-Tier Archiтекстура.

    SAP Услуги за разширени приложения на HANA (SAP HANA XS) се основава на 2 нива Archiструктура, в която сървърът на приложения, уеб сървърът и средата за разработка са вградени в една система.

SAP HANA 2 нива Archiтекстура

SAP HANA удостоверяване

Потребителят на базата данни идентифицира кой има достъп до SAP База данни HANA. Проверява се чрез процес, наречен „Удостоверяване“. SAP HANA поддържа много методи за удостоверяване. Единично влизане (SSO) се използва за интегриране на няколко метода за удостоверяване.

SAP HANA поддържа следния метод за удостоверяване –

  • Kerberos: Може да се използва в следния случай -
  • Директно от JDBC и ODBC клиент (SAP Студио ХАНА).
  • Когато HTTP се използва за достъп SAP HANA XS.

  • Потребителско име / Парола Когато потребителят въведе своето потребителско име и парола за база данни, тогава SAP Базата данни HANA удостоверява потребителя.

  • Език за маркиране на твърдения за сигурност (SAML)

    SAML може да се използва за удостоверяване SAP HANA потребител, който има достъп SAP HANA база данни директно през ODBC/JDBC. Това е процес на съпоставяне на идентичността на външния потребител към потребителя на вътрешната база данни, така че потребителят да може да влезе в базата данни sap с идентификатора на външния потребител.

  • SAP Билети за влизане и изявление

    Потребителят може да бъде удостоверен чрез билети за влизане или удостоверяване, които се конфигурират и издават на потребителя за създаване на билет.

  • X.509 клиентски сертификати

    Кога SAP HANA XS достъп чрез HTTP, клиентски сертификати, подписани от доверен сертифициращ орган (CA), могат да се използват за удостоверяване на потребителя.

SAP Упълномощаване на HANA

SAP HANA разрешение се изисква, когато потребител използва клиентски интерфейс (JDBC, ODBC или HTTP) за достъп до SAP HANA база данни.

В зависимост от оторизацията, предоставена на потребителя, той може да извършва операции с база данни върху обекта на базата данни. Това разрешение се нарича „привилегии“.

Привилегиите могат да бъдат предоставени на потребителя директно или непряко (чрез роли). Всички привилегии, присвоени на потребителите, се комбинират в едно цяло.

Когато потребител се опита да получи достъп до който и да е SAP Обект на базата данни на HANA, системата HANA извършва проверка за оторизация на потребителя чрез потребителски роли и директно предоставя привилегиите.

Когато поисканите привилегии бъдат намерени, системата HANA пропуска допълнителни проверки и предоставя достъп до заявени обекти на база данни.

In SAP Следните привилегии на HANA са техни –

Видове привилегии Descriptйон
Системни привилегии Контролира нормалната дейност на системата. Системните привилегии се използват главно за –

  • Създаване и изтриване на схема в SAP База данни HANA
  • Управление на потребител и роля в SAP База данни HANA
  • Мониторинг и проследяване на SAP HANA база данни
  • Извършване на архивиране на данни
  • Лиценз за управление
  • Управление на версията
  • Управляващ одит
  • Импортиране и експортиране на съдържание
  • Поддържане на единици за доставка
Привилегии на обект Обектните привилегии са SQL привилегии, които се използват за даване на разрешение за четене и модифициране на обекти на база данни. За достъп до обектите на базата данни потребителят се нуждае от привилегии на обекта върху обектите на базата данни или върху схемата, в която съществува обектът на базата данни. Обектни привилегии могат да бъдат предоставени на каталожни обекти (таблица, изглед и т.н.) или некаталожни обекти (обекти за разработка).
Привилегиите на обекта са както по-долу –

  • СЪЗДАВАЙТЕ ВСЯКАКВА
  • АКТУАЛИЗИРАНЕ, ВМЪКВАНЕ, ИЗБИРАНЕ, ИЗТРИВАНЕ, ПУСКАНЕ, ПРОМЕНЯНЕ, ИЗПЪЛНЕНИЕ
  • ИНДЕКС, ТРИГЕР, ОТСТРАНЯВАНЕ НА ГРЕШКИ, ПРЕПОРЪЧКИ
Аналитични привилегии Аналитичните привилегии се използват за разрешаване на достъп за четене на данни на SAP Информационен модел на HANA (изглед на атрибути, аналитичен изглед, изглед на изчисление).

  • Тази привилегия се оценява по време на обработката на заявката.
  • Аналитичните привилегии предоставят достъп на различен потребител до различна част от данните в
  • Същият информационен изглед въз основа на ролята на потребителя.
  • Аналитичните привилегии се използват в SAP HANA база данни за предоставяне на данни на ниво ред

Контролът за отделните потребители да виждат данните е в същия изглед.

Пакетни привилегии Пакетните привилегии се използват за предоставяне на разрешение за действия върху отделни пакети в SAP HANA хранилище.
Привилегии на приложението Изискват се привилегии за приложение в In SAP Услуги за разширени приложения на HANA (SAP HANA XS) за приложение за достъп.

Привилегиите на приложението се предоставят и отменят чрез процедурите GRANT_APPLICATION_PRIVILEGE и процедурата REVOKE_APPLICATION_PRIVILEGE в схемата _SYS_REPO.

Привилегии на потребителя Това са SQL привилегии, които потребителят може да предостави на собствен потребител. ATTACH DEBUGGER е единствената привилегия, която може да бъде предоставена на потребител.

SAP HANA Администриране на потребители и управление на роли

Влизам SAP HANA база данни, необходими са потребители. В зависимост от различните правила за сигурност има два типа потребители SAP HANA както по-долу –

  1. Технически потребител (DBA потребител) – Това е потребител, който работи директно с SAP HANA база данни с необходимите привилегии. Обикновено тези потребители не се изтриват от базата данни.

    Тези потребители са създадени за административна задача като създаване на обект и предоставяне на привилегии на обект на база данни или на приложение.

    SAP Системата за бази данни HANA предоставя следния потребител по подразбиране като стандартен потребител –

  • СИСТЕМА
  • система
  • _SYS_REPO
  1. База данни или реален потребител: Всеки потребител, който иска да работи по SAP HANA база данни, трябва потребител на база данни. Потребителят на базата данни е реален човек, който работи върху SAP ХАНА.

    Има два типа потребители на база данни, както е показано по-долу –

Тип на потребителя Descriptйон Възложена роля
Стандартен потребител Този потребител може да създава обекти в собствена схема и да чете данни в системни изгледи. Стандартен потребител, създаден с командата „CREATE USER“. Ролята PUBLIC се присвоява за системни изгледи за четене.
Ограничен потребител Потребителят с ограничен достъп няма пълен SQL достъп чрез SQL конзола и е създаден с израза „CREATE RESTRICTED USER“. Ако се изискват привилегии за използване на някое приложение, те се предоставят чрез ролята.

  • Потребителят с ограничен достъп не може да създава обекти на база данни.
  • Потребителят с ограничен достъп не може да преглежда данни в базата данни.
  • Потребителят с ограничен достъп се свързва с база данни само чрез HTTP.
  • ODBC/JDBC достъпът за клиентска връзка трябва да бъде активиран с SQL оператор.
Ролята RESTRICTED_USER_ODBC_ACCESS или RESTRICTED_USER_JDBC_ACCESS е необходима на потребителя за пълен достъп до функционалността на ODBC/JDBC

SAP Потребителският администратор на HANA има достъп до следната дейност –

  1. Създаване/изтриване на потребител.
  2. Дефиниране и създаване на роля.
  3. Дайте роля на потребителя.
  4. Нулиране на потребителска парола.
  5. Повторно активиране / деактивиране на потребител според изискването.

1. Създайте потребител в SAP ХАНА- само потребител на база данни с привилегии ROLE ADMIN може да създава потребител и роля в SAP ХАНА.

Стъпка 1) За да създадете нов потребител в SAP HANA Studio отидете в раздела за сигурност, както е показано по-долу, и следвайте следните стъпки;

  1. Отидете до възел за сигурност.
  2. Изберете Потребители (Щракнете с десен бутон) -> Нов потребител.

Създайте потребител в SAP ХАНА

Стъпка 2) Появява се екран за създаване на потребител.

  1. Въведете потребителско име.
  2. Въведете парола за потребителя.
  3. Това е механизъм за удостоверяване, по подразбиране се използва потребителско име / парола за удостоверяване.

Създайте потребител в SAP ХАНА

Като щракнете върху разгръщанетоСъздайте потребител в SAP ХАНАЩе бъде създаден потребител на бутон.

2. Определете и създайте роля

Ролята е набор от привилегии, които могат да бъдат предоставени на други потребители или роли. Ролята включва привилегии за обект на база данни и приложение и в зависимост от естеството на работата.

Това е стандартен механизъм за предоставяне на привилегии. Привилегиите могат да бъдат предоставени директно на потребителя. Има много стандартни роли (напр. МОДЕЛИРАНЕ, МОНИТОРИНГ и др.), налични в SAP HANA база данни.

Можем да използваме стандартната роля като шаблон за създаване на персонализирана роля.

Една роля може да съдържа следните привилегии –

  • Системни привилегии за административни и развойни задачи (ЧЕТЕНЕ НА КАТАЛОГ, АДМИНИСТРАТОР НА ПРОВЕРКА и др.)
  • Обектни привилегии за обекти на база данни (ИЗБЕРЕТЕ, ВМЪКНЕТЕ, ИЗТРИЙТЕ и т.н.)
  • Аналитични привилегии за SAP Информационен изглед на HANA
  • Привилегии на пакети за пакети от хранилища (REPO.READ, REPO.EDIT_NATIVE_OBJECTS и др.)
  • Привилегии на приложението за SAP HANA XS приложения.
  • Привилегии на потребителя (за отстраняване на грешки на процедура).

Създаване на роля

Стъпка 1) В този етап,

  1. Отидете на Security node in SAP Система HANA.
  2. Изберете Ролеви възел (Щракнете с десния бутон) и изберете Нова роля.

Създаване на роля в SAP ХАНА

Стъпка 2) Показва се екран за създаване на роля.

Създаване на роля в SAP ХАНА

  1. Дайте име на роля под Нов блок за роля.
  2. Изберете раздела Предоставена роля и щракнете върху иконата „+“, за да добавите стандартна роля или излизаща роля.
  3. Изберете Желана роля (напр. МОДЕЛИРАНЕ, МОНИТОРИНГ и др.)

Стъпка 3) В този етап,

  1. Избраната роля се добавя в раздела Предоставени роли.
  2. Привилегиите могат да бъдат присвоени директно на потребителя чрез избиране на Системни привилегии, Привилегии на обекти, Аналитични привилегии, Привилегии на пакети и др.
  3. Кликнете върху иконата за внедряване, за да създадете роля.

Създаване на роля в SAP ХАНА

Поставете отметка върху опцията „Разрешава се на други потребители и роли“, ако искате да присвоите тази роля на друг потребител и роля.

3. Предоставете роля на потребителя

Стъпка 1) В тази стъпка ще присвоим роля „MODELLING_VIEW“ на друг потребител „ABHI_TEST“.

  1. Отидете на потребителски подвъзел под възел за сигурност и щракнете двукратно върху него. Ще се покаже потребителски прозорец.
  2. Кликнете върху иконата „+“ на предоставени роли.
  3. Ще се появи изскачащ прозорец, име за роля за търсене, което ще бъде присвоено на потребителя.

Дайте роля на потребителя в SAP ХАНА

Стъпка 2) В тази стъпка ролята „MODELLING_VIEW“ ще бъде добавена под Роля.

Дайте роля на потребителя в SAP ХАНА

Стъпка 3) В този етап,

  1. Кликнете върху бутона Разполагане.
  2. Показва се съобщение „Променен потребител „ABHI_TEST“.

Предоставяне на роля на потребител

4. Нулиране на потребителска парола

Ако потребителската парола трябва да бъде нулирана, отидете на потребителския подвъзел под възела за сигурност и щракнете двукратно върху него. Ще се покаже потребителски прозорец.

Стъпка 1) В този етап,

  1. Въведете нова парола.
  2. Въведете Потвърдете паролата.

Нулиране на потребителска парола

Стъпка 2) В този етап,

  1. Кликнете върху бутона Разполагане.
  2. Показва се съобщение „Променен потребител „ABHI_TEST“.

Нулиране на потребителска парола в SAP ХАНА

5. Повторно активиране/деактивиране на потребителя

Отидете на потребителски подвъзел под възел за сигурност и щракнете двукратно върху него. Ще се покаже потребителски прозорец.

Има икона за деактивиране на потребител. Кликнете върху него

Повторно активиране/деактивиране на потребителя SAP ХАНА

Ще се появи съобщение за потвърждение „Изскачащ прозорец“. Кликнете върху бутона „Да“.

Повторно активиране/деактивиране на потребителя SAP ХАНА

Ще се покаже съобщение „Потребителят 'ABHI_TEST' е деактивиран”. Иконата за деактивиране се променя с име „Активиране на потребител“. Сега можем да активираме потребител от същата икона.

SAP HANA управление на лицензи

За използване е необходим лицензионен ключ SAP База данни HANA. Лицензионният ключ може да бъде инсталиран и изтрит чрез SAP Студио ХАНА, SAP HANA HDBSQL инструмент за команден ред и HANA SQL редактор на заявки.

SAP Базата данни HANA поддържа два типа лицензен ключ –

  • Постоянен лицензен ключ: Постоянните лицензионни ключове са валидни до датата на изтичане. Трябва да поискаме и приложим лицензен ключ преди изтичане. Ако лицензионният ключ изтече, временният лицензен ключ се инсталира автоматично за 28 дни.
  • Временен лицензен ключ: Това се инсталира автоматично с нов SAP Инсталиране на HANA база данни. Той е валиден за 90 дни и по-късно можете да кандидатствате за постоянен ключ от SAP.

Упълномощаване на управлението на лицензи

„АДМИНИСТРАТОР НА ЛИЦЕНЗИ“ са необходими привилегии за управление на лицензи.

SAP Одит на HANA

SAP Функциите за одит на HANA ви позволяват да наблюдавате и записвате действия, които се извършват в SAP Система HANA. Тези функции трябва да бъдат активирани за системата, преди да се създаде политика за одит.

Разрешение за SAP Одит на HANA

„АДМИНИСТРАТОР НА ОДИТА“Системни привилегии, необходими за SAP Одит на HANA.

Oбобщение

В този урок научихме следната тема –

  • SAP Преглед на сигурността на HANA.
  • SAP Подробно HANA удостоверяване.
  • SAP Подробно разрешение за HANA.
  • SAP HANA метод за администриране на потребители.
  • SAP HANA метод за администриране на роли
  • SAP Процес на управление на HANA лиценз.
  • SAP Процес на одит на роли на HANA.