SAP HANA Security: Kompletní návod

Co je Sap Hana Security?

SAP HANA Security chrání důležitá data před neoprávněným přístupem a zajišťuje, že standardy a soulad splňují bezpečnostní standard přijatý společností.

SAP HANA poskytuje zařízení, tj. databázi Multitenant, ve které lze vytvořit více databází na jedné SAP Systém HANA. Je známý jako multitenant databázový kontejner. Tak SAP HANA poskytuje všechny funkce související se zabezpečením pro všechny kontejnery s více klienty.

SAP HANA Poskytněte následující funkce související se zabezpečením –

  • Správa uživatelů a rolí
  • Povolení
  • Ověřování
  • Šifrování dat v Persistence Layer
  • Šifrování dat v síťové vrstvě

SAP Uživatel a role HANA

SAP Konfigurace správy uživatelů a rolí HANA závisí na architektuře, jak je uvedeno níže –

  1. 3-vrstva Architecture.

    SAP HANA lze použít jako relační databázi ve 3 vrstvách Architecture.

    V této architektuře jsou funkce zabezpečení (autorizace, ověřování, šifrování a auditování) instalovány na vrstvách aplikačního serveru.

    SAP aplikace (ERP, BW atd.) se připojuje k databázi pouze za pomoci technického uživatele nebo správce databáze (Basis Person). Koncový uživatel nemůže přímo přistupovat k databázi nebo databázovému serveru.

SAP HANA 3-vrstvý Architecture

  1. 2-vrstva Architecture.

    SAP Rozšířené aplikační služby HANA (SAP HANA XS) je založen na 2 – Tier Architecture, ve které jsou aplikační server, webový server a vývojové prostředí zabudovány do jednoho systému.

SAP HANA 2-vrstvý Architecture

SAP Autentizace HANA

Uživatel databáze identifikuje, kdo přistupuje k SAP Databáze HANA. Ověřuje se procesem nazvaným „Autentizace“. SAP HANA podporuje mnoho metod ověřování. Single Sign-on (SSO) se používají k integraci několika metod ověřování.

SAP HANA podporuje následující metodu ověřování –

  • Kerberos: Lze jej použít v následujícím případě –
  • Přímo z klienta JDBC a ODBC (SAP Studio HANA).
  • Když se pro přístup používá HTTP SAP HANA XS.

  • Uživatelské jméno heslo Když uživatel zadá své uživatelské jméno a heslo databáze, pak SAP Databáze HANA ověřuje uživatele.

  • Security Assertion Markup Language (SAML)

    SAML lze použít k ověření SAP Uživatel HANA, který přistupuje SAP Databáze HANA přímo přes ODBC/JDBC. Je to proces mapování identity externího uživatele na uživatele interní databáze, takže uživatel se může přihlásit do databáze sap pomocí ID externího uživatele.

  • SAP Vstupenky na přihlášení a uplatnění

    Uživatel může být ověřen pomocí přihlašovacích nebo aseračních lístků, které jsou nakonfigurovány a vydány uživateli pro vytvoření lístku.

  • Klientské certifikáty X.509

    Kdy SAP K ověření uživatele lze použít klientské certifikáty HANA XS Access by HTTP, podepsané důvěryhodnou certifikační autoritou (CA).

SAP Autorizace HANA

SAP Autorizace HANA je vyžadována, když uživatel používá klientské rozhraní (JDBC, ODBC nebo HTTP) pro přístup k SAP databáze HANA.

V závislosti na oprávnění poskytnutém uživateli může provádět databázové operace s databázovým objektem. Toto oprávnění se nazývá „privilegia“.

Oprávnění mohou být uživateli udělena přímo nebo nepřímo (prostřednictvím rolí). Všechna oprávnění přiřazená uživatelům jsou sloučena do jednoho celku.

Když se uživatel pokusí získat přístup k libovolnému SAP Objekt databáze HANA, HANA System provádí kontrolu autorizace uživatele prostřednictvím uživatelských rolí a přímo uděluje oprávnění.

Když byla nalezena požadovaná oprávnění, systém HANA přeskočí další kontroly a udělí přístup k objektům databáze požadavků.

In SAP HANA následující privilegia jsou jejich –

Typy privilegií Description
Systémová oprávnění Řídí normální činnost systému. Systémová oprávnění se používají hlavně pro –

  • Vytvoření a odstranění schématu v SAP Databáze HANA
  • Správa uživatele a role v SAP Databáze HANA
  • Monitorování a sledování SAP databáze HANA
  • Provádění záloh dat
  • Správa licence
  • Správa verze
  • Řízení auditu
  • Import a export obsahu
  • Údržba dodacích jednotek
Objektová privilegia Objektová oprávnění jsou SQL oprávnění, která se používají k udělení oprávnění ke čtení a úpravě databázových objektů. Pro přístup k databázovým objektům potřebuje uživatel oprávnění k objektům databáze nebo schématu, ve kterém databázový objekt existuje. Objektová oprávnění mohou být udělena katalogovým objektům (tabulka, pohled atd.) nebo nekatalogovým objektům (vývojové objekty).
Objektová oprávnění jsou uvedena níže –

  • VYTVOŘIT JAKÉKOLI
  • UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE
  • INDEX, TRIGGER, DEBUG, REFERENCE
Analytická privilegia Analytická oprávnění se používají k umožnění přístupu ke čtení dat SAP Informační model HANA (zobrazení atributů, analytický pohled, výpočetní pohled).

  • Toto oprávnění se vyhodnocuje během zpracování dotazu.
  • Analytická oprávnění udělují různým uživatelům přístup k různým částem dat v
  • Stejné zobrazení informací na základě uživatelské role.
  • Používají se analytická oprávnění SAP Databáze HANA, která poskytuje data na úrovni řádků

Ovládání pro zobrazení dat jednotlivým uživatelům je ve stejném zobrazení.

Oprávnění balíčku Oprávnění pro balíčky se používají k poskytování oprávnění k akcím s jednotlivými balíčky v SAP Úložiště HANA.
Aplikační práva Aplikační oprávnění jsou vyžadována v In SAP Rozšířené aplikační služby HANA (SAP HANA XS) pro přístupovou aplikaci.

Oprávnění aplikace se udělují a odvolávají prostřednictvím procedur GRANT_APPLICATION_PRIVILEGE a REVOKE_APPLICATION_PRIVILEGE ve schématu _SYS_REPO.

Oprávnění uživatele Jedná se o privilegia SQL, která může uživatel udělit vlastnímu uživateli. ATTACH DEBUGGER je jediné oprávnění, které lze uživateli udělit.

SAP Správa uživatelů HANA a správa rolí

Mít přístup SAP Databáze HANA, uživatelé jsou vyžadováni. V závislosti na různé bezpečnostní politice existují dva typy uživatelů SAP HANA, jak je uvedeno níže -

  1. Technický uživatel (uživatel DBA) – Je to uživatel, se kterým přímo spolupracuje SAP Databáze HANA s potřebnými oprávněními. Obvykle tito uživatelé nejsou z databáze odstraněni.

    Tito uživatelé jsou vytvořeni pro administrativní úlohu, jako je vytvoření objektu a udělení oprávnění k databázovému objektu nebo aplikaci.

    SAP Databázový systém HANA poskytuje ve výchozím nastavení následujícího uživatele jako standardního uživatele –

  • SYSTÉM
  • SYS
  • _SYS_REPO
  1. Databáze nebo skutečný uživatel: Každý uživatel, který chce pracovat na SAP Databáze HANA, potřebujete uživatele databáze. Uživatel databáze je skutečný člověk, na kterém pracuje SAP HANA.

    Existují dva typy uživatelů databáze, jak je uvedeno níže –

Typ uživatele Description Role přidělena
Standardní uživatel Tento uživatel může vytvářet objekty ve vlastním schématu a číst data v systémových pohledech. Standardní uživatel vytvořený příkazem „CREATE USER“. Pro čtené systémové pohledy je přiřazena role PUBLIC.
Omezený uživatel Uživatel s omezeným přístupem nemá úplný přístup k SQL prostřednictvím konzoly SQL a byl vytvořen pomocí příkazu „CREATE RESTRICTED USER“. Pokud jsou pro použití jakékoli aplikace vyžadována oprávnění, pak jsou poskytována prostřednictvím role.

  • Omezený uživatel nemůže vytvářet databázové objekty.
  • Omezený uživatel nemůže zobrazit data v databázi.
  • Uživatel s omezeným přístupem se připojuje k databázi pouze prostřednictvím HTTP.
  • Přístup ODBC/JDBC pro připojení klienta musí být povolen příkazem SQL.
Pro úplný přístup k funkcím ODBC/JDBC je pro uživatele vyžadována role RESTRICTED_USER_ODBC_ACCESS nebo RESTRICTED_USER_JDBC_ACCESS

SAP Správce uživatelů HANA má přístup k následující činnosti –

  1. Vytvořit/smazat uživatele.
  2. Definujte a vytvořte roli.
  3. Přidělte uživateli roli.
  4. Resetování uživatelského hesla.
  5. Znovu aktivujte / deaktivujte uživatele podle požadavku.

1. Vytvořit uživatele v SAP HANA- pouze uživatel databáze s oprávněními ROLE ADMIN může vytvořit uživatele a roli v SAP HANA.

Krok 1) Chcete-li vytvořit nového uživatele v SAP HANA Studio přejděte na kartu zabezpečení, jak je uvedeno níže, a postupujte podle následujících kroků;

  1. Přejděte do bezpečnostního uzlu.
  2. Vyberte Uživatelé (pravé kliknutí) -> Nový uživatel.

Vytvořit uživatele v SAP HANA

Krok 2) Objeví se obrazovka pro vytvoření uživatele.

  1. Zadejte uživatelské jméno.
  2. Zadejte heslo pro uživatele.
  3. Jedná se o autentizační mechanismy, standardně se pro autentizaci používá uživatelské jméno / heslo.

Vytvořit uživatele v SAP HANA

Kliknutím na nasazeníVytvořit uživatele v SAP HANAUživatel tlačítka bude vytvořen.

2. Definujte a vytvořte roli

Role je kolekce oprávnění, která mohou být udělena jiným uživatelům nebo roli. Role zahrnuje oprávnění pro databázový objekt a aplikaci a v závislosti na povaze úlohy.

Je to standardní mechanismus udělování oprávnění. Privilegia mohou být udělena přímo uživateli. K dispozici je mnoho standardních rolí (např. MODELOVÁNÍ, MONITOROVÁNÍ atd.). SAP databáze HANA.

Standardní roli můžeme použít jako šablonu pro vytvoření vlastní role.

Role může obsahovat následující oprávnění –

  • Systémová oprávnění pro administrativní a vývojové úlohy (ČTENÍ KATALOGU, AUDIT ADMIN atd.)
  • Objektová oprávnění pro databázové objekty (SELECT, INSERT, DELETE atd.)
  • Analytická oprávnění pro SAP Informační pohled HANA
  • Oprávnění balíčků u balíčků úložiště (REPO.READ, REPO.EDIT_NATIVE_OBJECTS atd.)
  • Aplikační práva pro SAP Aplikace HANA XS.
  • Oprávnění uživatele (pro ladění procedury).

Vytváření rolí

Krok 1) V tomto kroku,

  1. Přejděte na uzel zabezpečení v SAP Systém HANA.
  2. Vyberte Uzel role (pravé kliknutí) a vyberte Nová role.

Vytvoření role v SAP HANA

Krok 2) Zobrazí se obrazovka vytvoření role.

Vytvoření role v SAP HANA

  1. V části Nový blok role zadejte název role.
  2. Vyberte kartu Udělená role a kliknutím na ikonu „+“ přidejte standardní roli nebo ukončující roli.
  3. Vyberte požadovanou roli (např. MODELOVÁNÍ, MONITOROVÁNÍ atd.)

Krok 3) V tomto kroku,

  1. Vybraná role je přidána na kartu Udělené role.
  2. Oprávnění lze uživateli přiřadit přímo výběrem Systémová oprávnění, Oprávnění objektů, Analytická oprávnění, Oprávnění pro balíčky atd.
  3. Kliknutím na ikonu nasazení vytvoříte roli.

Vytvoření role v SAP HANA

Chcete-li tuto roli přiřadit jinému uživateli a roli, zaškrtněte možnost „Přidělit jiným uživatelům a rolím“.

3. Udělte roli uživateli

Krok 1) V tomto kroku přiřadíme roli „MODELLING_VIEW“ jinému uživateli „ABHI_TEST“.

  1. Přejděte na poduzel uživatele pod uzel zabezpečení a dvakrát na něj klikněte. Zobrazí se uživatelské okno.
  2. Klikněte na ikonu „+“ přidělené role.
  3. Objeví se vyskakovací okno, název vyhledávací role, který bude přiřazen uživateli.

Udělit roli uživateli v SAP HANA

Krok 2) V tomto kroku bude pod Role přidána role „MODELLING_VIEW“.

Udělit roli uživateli v SAP HANA

Krok 3) V tomto kroku,

  1. Klikněte na tlačítko Deploy.
  2. Zobrazí se zpráva „Uživatel 'ABHI_TEST“ změněn.

Udělení role uživateli

4. Resetování hesla uživatele

Pokud je třeba resetovat heslo uživatele, přejděte do poduzlu uživatele pod uzel zabezpečení a dvakrát na něj klikněte. Zobrazí se uživatelské okno.

Krok 1) V tomto kroku,

  1. Zadejte nové heslo.
  2. Zadejte Potvrdit heslo.

Resetování uživatelského hesla

Krok 2) V tomto kroku,

  1. Klikněte na tlačítko Deploy.
  2. Zobrazí se zpráva „User 'ABHI_TEST“ změněna.

Resetování uživatelského hesla v SAP HANA

5. Znovu aktivujte/deaktivujte uživatele

Přejděte na poduzel uživatele pod uzel zabezpečení a dvakrát na něj klikněte. Zobrazí se uživatelské okno.

Je zde ikona De-Activate User. Klikněte na to

Znovu aktivovat/deaktivovat uživatele v SAP HANA

Zobrazí se potvrzovací zpráva „Vyskakovací okno“. Klikněte na tlačítko 'Ano'.

Znovu aktivovat/deaktivovat uživatele v SAP HANA

Zobrazí se zpráva „Uživatel 'ABHI_TEST' deaktivován“. Ikona Deaktivovat se změní na „Aktivovat uživatele“. Nyní můžeme aktivovat uživatele ze stejné ikony.

SAP Správa licencí HANA

K použití je vyžadován licenční klíč SAP Databáze HANA. Licenční klíč lze nainstalovat a odstranit pomocí SAP Studio HANA, SAP Nástroj příkazového řádku HANA HDBSQL a editor dotazů HANA SQL.

SAP Databáze HANA podporuje dva typy licenčního klíče –

  • Trvalý licenční klíč: Trvalé licenční klíče jsou platné do data vypršení platnosti. Před vypršením platnosti licenčního klíče musíme požádat a použít jej. Pokud licenční klíč vyprší, dočasný licenční klíč se automaticky nainstaluje na 28 dní.
  • Dočasný licenční klíč: To se automaticky nainstaluje s novým SAP Instalace databáze HANA. Je platný 90 dní a později lze požádat o Permanentní klíč od SAP.

Autorizace správy licencí

"SPRÁVCE LICENCE" pro správu licencí jsou vyžadována oprávnění.

SAP HANA Auditing

SAP Funkce HANA Auditing vám umožní sledovat a zaznamenávat akce, které se provádějí SAP Systém HANA. Tyto funkce by měly být pro systém aktivovány před vytvořením zásady auditu.

Oprávnění pro SAP HANA Auditing

"ADMIN AUDITU"Systémová oprávnění vyžadovaná pro SAP HANA Auditing.

Shrnutí

V tomto tutoriálu jsme se naučili následující téma –

  • SAP Přehled zabezpečení HANA.
  • SAP HANA Autentizace v detailu.
  • SAP Autorizace HANA podrobně.
  • SAP Metoda správy uživatelů HANA.
  • SAP Metoda správy rolí HANA
  • SAP Proces správy licencí HANA.
  • SAP Proces auditu role HANA.