SAP HANA Security: Kompletní návod
Co je Sap Hana Security?
SAP HANA Security chrání důležitá data před neoprávněným přístupem a zajišťuje, že standardy a soulad splňují bezpečnostní standard přijatý společností.
SAP HANA poskytuje zařízení, tj. databázi Multitenant, ve které lze vytvořit více databází na jedné SAP Systém HANA. Je známý jako multitenant databázový kontejner. Tak SAP HANA poskytuje všechny funkce související se zabezpečením pro všechny kontejnery s více klienty.
SAP HANA Poskytněte následující funkce související se zabezpečením –
- Správa uživatelů a rolí
- Povolení
- Ověřování
- Šifrování dat v Persistence Layer
- Šifrování dat v síťové vrstvě
SAP Uživatel a role HANA
SAP Konfigurace správy uživatelů a rolí HANA závisí na architektuře, jak je uvedeno níže –
- 3-vrstva Architecture.
SAP HANA lze použít jako relační databázi ve 3 vrstvách Architecture.
V této architektuře jsou funkce zabezpečení (autorizace, ověřování, šifrování a auditování) instalovány na vrstvách aplikačního serveru.
SAP aplikace (ERP, BW atd.) se připojuje k databázi pouze za pomoci technického uživatele nebo správce databáze (Basis Person). Koncový uživatel nemůže přímo přistupovat k databázi nebo databázovému serveru.
- 2-vrstva Architecture.
SAP Rozšířené aplikační služby HANA (SAP HANA XS) je založen na 2 – Tier Architecture, ve které jsou aplikační server, webový server a vývojové prostředí zabudovány do jednoho systému.
SAP Autentizace HANA
Uživatel databáze identifikuje, kdo přistupuje k SAP Databáze HANA. Ověřuje se procesem nazvaným „Autentizace“. SAP HANA podporuje mnoho metod ověřování. Single Sign-on (SSO) se používají k integraci několika metod ověřování.
SAP HANA podporuje následující metodu ověřování –
- Kerberos: Lze jej použít v následujícím případě –
- Přímo z klienta JDBC a ODBC (SAP Studio HANA).
-
Když se pro přístup používá HTTP SAP HANA XS.
-
Uživatelské jméno heslo Když uživatel zadá své uživatelské jméno a heslo databáze, pak SAP Databáze HANA ověřuje uživatele.
- Security Assertion Markup Language (SAML)
SAML lze použít k ověření SAP Uživatel HANA, který přistupuje SAP Databáze HANA přímo přes ODBC/JDBC. Je to proces mapování identity externího uživatele na uživatele interní databáze, takže uživatel se může přihlásit do databáze sap pomocí ID externího uživatele.
- SAP Vstupenky na přihlášení a uplatnění
Uživatel může být ověřen pomocí přihlašovacích nebo aseračních lístků, které jsou nakonfigurovány a vydány uživateli pro vytvoření lístku.
- Klientské certifikáty X.509
Kdy SAP K ověření uživatele lze použít klientské certifikáty HANA XS Access by HTTP, podepsané důvěryhodnou certifikační autoritou (CA).
SAP Autorizace HANA
SAP Autorizace HANA je vyžadována, když uživatel používá klientské rozhraní (JDBC, ODBC nebo HTTP) pro přístup k SAP databáze HANA.
V závislosti na oprávnění poskytnutém uživateli může provádět databázové operace s databázovým objektem. Toto oprávnění se nazývá „privilegia“.
Oprávnění mohou být uživateli udělena přímo nebo nepřímo (prostřednictvím rolí). Všechna oprávnění přiřazená uživatelům jsou sloučena do jednoho celku.
Když se uživatel pokusí získat přístup k libovolnému SAP Objekt databáze HANA, HANA System provádí kontrolu autorizace uživatele prostřednictvím uživatelských rolí a přímo uděluje oprávnění.
Když byla nalezena požadovaná oprávnění, systém HANA přeskočí další kontroly a udělí přístup k objektům databáze požadavků.
In SAP HANA následující privilegia jsou jejich –
Typy privilegií | Description |
---|---|
Systémová oprávnění | Řídí normální činnost systému. Systémová oprávnění se používají hlavně pro –
|
Objektová privilegia | Objektová oprávnění jsou SQL oprávnění, která se používají k udělení oprávnění ke čtení a úpravě databázových objektů. Pro přístup k databázovým objektům potřebuje uživatel oprávnění k objektům databáze nebo schématu, ve kterém databázový objekt existuje. Objektová oprávnění mohou být udělena katalogovým objektům (tabulka, pohled atd.) nebo nekatalogovým objektům (vývojové objekty). Objektová oprávnění jsou uvedena níže –
|
Analytická privilegia | Analytická oprávnění se používají k umožnění přístupu ke čtení dat SAP Informační model HANA (zobrazení atributů, analytický pohled, výpočetní pohled).
Ovládání pro zobrazení dat jednotlivým uživatelům je ve stejném zobrazení. |
Oprávnění balíčku | Oprávnění pro balíčky se používají k poskytování oprávnění k akcím s jednotlivými balíčky v SAP Úložiště HANA. |
Aplikační práva | Aplikační oprávnění jsou vyžadována v In SAP Rozšířené aplikační služby HANA (SAP HANA XS) pro přístupovou aplikaci.
Oprávnění aplikace se udělují a odvolávají prostřednictvím procedur GRANT_APPLICATION_PRIVILEGE a REVOKE_APPLICATION_PRIVILEGE ve schématu _SYS_REPO. |
Oprávnění uživatele | Jedná se o privilegia SQL, která může uživatel udělit vlastnímu uživateli. ATTACH DEBUGGER je jediné oprávnění, které lze uživateli udělit. |
SAP Správa uživatelů HANA a správa rolí
Mít přístup SAP Databáze HANA, uživatelé jsou vyžadováni. V závislosti na různé bezpečnostní politice existují dva typy uživatelů SAP HANA, jak je uvedeno níže -
-
Technický uživatel (uživatel DBA) – Je to uživatel, se kterým přímo spolupracuje SAP Databáze HANA s potřebnými oprávněními. Obvykle tito uživatelé nejsou z databáze odstraněni.
Tito uživatelé jsou vytvořeni pro administrativní úlohu, jako je vytvoření objektu a udělení oprávnění k databázovému objektu nebo aplikaci.
SAP Databázový systém HANA poskytuje ve výchozím nastavení následujícího uživatele jako standardního uživatele –
- SYSTÉM
- SYS
- _SYS_REPO
-
Databáze nebo skutečný uživatel: Každý uživatel, který chce pracovat na SAP Databáze HANA, potřebujete uživatele databáze. Uživatel databáze je skutečný člověk, na kterém pracuje SAP HANA.
Existují dva typy uživatelů databáze, jak je uvedeno níže –
Typ uživatele | Description | Role přidělena |
---|---|---|
Standardní uživatel | Tento uživatel může vytvářet objekty ve vlastním schématu a číst data v systémových pohledech. Standardní uživatel vytvořený příkazem „CREATE USER“. | Pro čtené systémové pohledy je přiřazena role PUBLIC. |
Omezený uživatel | Uživatel s omezeným přístupem nemá úplný přístup k SQL prostřednictvím konzoly SQL a byl vytvořen pomocí příkazu „CREATE RESTRICTED USER“. Pokud jsou pro použití jakékoli aplikace vyžadována oprávnění, pak jsou poskytována prostřednictvím role.
|
Pro úplný přístup k funkcím ODBC/JDBC je pro uživatele vyžadována role RESTRICTED_USER_ODBC_ACCESS nebo RESTRICTED_USER_JDBC_ACCESS |
SAP Správce uživatelů HANA má přístup k následující činnosti –
- Vytvořit/smazat uživatele.
- Definujte a vytvořte roli.
- Přidělte uživateli roli.
- Resetování uživatelského hesla.
- Znovu aktivujte / deaktivujte uživatele podle požadavku.
1. Vytvořit uživatele v SAP HANA- pouze uživatel databáze s oprávněními ROLE ADMIN může vytvořit uživatele a roli v SAP HANA.
Krok 1) Chcete-li vytvořit nového uživatele v SAP HANA Studio přejděte na kartu zabezpečení, jak je uvedeno níže, a postupujte podle následujících kroků;
- Přejděte do bezpečnostního uzlu.
- Vyberte Uživatelé (pravé kliknutí) -> Nový uživatel.
Krok 2) Objeví se obrazovka pro vytvoření uživatele.
- Zadejte uživatelské jméno.
- Zadejte heslo pro uživatele.
- Jedná se o autentizační mechanismy, standardně se pro autentizaci používá uživatelské jméno / heslo.
Kliknutím na nasazeníUživatel tlačítka bude vytvořen.
2. Definujte a vytvořte roli
Role je kolekce oprávnění, která mohou být udělena jiným uživatelům nebo roli. Role zahrnuje oprávnění pro databázový objekt a aplikaci a v závislosti na povaze úlohy.
Je to standardní mechanismus udělování oprávnění. Privilegia mohou být udělena přímo uživateli. K dispozici je mnoho standardních rolí (např. MODELOVÁNÍ, MONITOROVÁNÍ atd.). SAP databáze HANA.
Standardní roli můžeme použít jako šablonu pro vytvoření vlastní role.
Role může obsahovat následující oprávnění –
- Systémová oprávnění pro administrativní a vývojové úlohy (ČTENÍ KATALOGU, AUDIT ADMIN atd.)
- Objektová oprávnění pro databázové objekty (SELECT, INSERT, DELETE atd.)
- Analytická oprávnění pro SAP Informační pohled HANA
- Oprávnění balíčků u balíčků úložiště (REPO.READ, REPO.EDIT_NATIVE_OBJECTS atd.)
- Aplikační práva pro SAP Aplikace HANA XS.
- Oprávnění uživatele (pro ladění procedury).
Vytváření rolí
Krok 1) V tomto kroku,
- Přejděte na uzel zabezpečení v SAP Systém HANA.
- Vyberte Uzel role (pravé kliknutí) a vyberte Nová role.
Krok 2) Zobrazí se obrazovka vytvoření role.
- V části Nový blok role zadejte název role.
- Vyberte kartu Udělená role a kliknutím na ikonu „+“ přidejte standardní roli nebo ukončující roli.
- Vyberte požadovanou roli (např. MODELOVÁNÍ, MONITOROVÁNÍ atd.)
Krok 3) V tomto kroku,
- Vybraná role je přidána na kartu Udělené role.
- Oprávnění lze uživateli přiřadit přímo výběrem Systémová oprávnění, Oprávnění objektů, Analytická oprávnění, Oprávnění pro balíčky atd.
- Kliknutím na ikonu nasazení vytvoříte roli.
Chcete-li tuto roli přiřadit jinému uživateli a roli, zaškrtněte možnost „Přidělit jiným uživatelům a rolím“.
3. Udělte roli uživateli
Krok 1) V tomto kroku přiřadíme roli „MODELLING_VIEW“ jinému uživateli „ABHI_TEST“.
- Přejděte na poduzel uživatele pod uzel zabezpečení a dvakrát na něj klikněte. Zobrazí se uživatelské okno.
- Klikněte na ikonu „+“ přidělené role.
- Objeví se vyskakovací okno, název vyhledávací role, který bude přiřazen uživateli.
Krok 2) V tomto kroku bude pod Role přidána role „MODELLING_VIEW“.
Krok 3) V tomto kroku,
- Klikněte na tlačítko Deploy.
- Zobrazí se zpráva „Uživatel 'ABHI_TEST“ změněn.
4. Resetování hesla uživatele
Pokud je třeba resetovat heslo uživatele, přejděte do poduzlu uživatele pod uzel zabezpečení a dvakrát na něj klikněte. Zobrazí se uživatelské okno.
Krok 1) V tomto kroku,
- Zadejte nové heslo.
- Zadejte Potvrdit heslo.
Krok 2) V tomto kroku,
- Klikněte na tlačítko Deploy.
- Zobrazí se zpráva „User 'ABHI_TEST“ změněna.
5. Znovu aktivujte/deaktivujte uživatele
Přejděte na poduzel uživatele pod uzel zabezpečení a dvakrát na něj klikněte. Zobrazí se uživatelské okno.
Je zde ikona De-Activate User. Klikněte na to
Zobrazí se potvrzovací zpráva „Vyskakovací okno“. Klikněte na tlačítko 'Ano'.
Zobrazí se zpráva „Uživatel 'ABHI_TEST' deaktivován“. Ikona Deaktivovat se změní na „Aktivovat uživatele“. Nyní můžeme aktivovat uživatele ze stejné ikony.
SAP Správa licencí HANA
K použití je vyžadován licenční klíč SAP Databáze HANA. Licenční klíč lze nainstalovat a odstranit pomocí SAP Studio HANA, SAP Nástroj příkazového řádku HANA HDBSQL a editor dotazů HANA SQL.
SAP Databáze HANA podporuje dva typy licenčního klíče –
- Trvalý licenční klíč: Trvalé licenční klíče jsou platné do data vypršení platnosti. Před vypršením platnosti licenčního klíče musíme požádat a použít jej. Pokud licenční klíč vyprší, dočasný licenční klíč se automaticky nainstaluje na 28 dní.
- Dočasný licenční klíč: To se automaticky nainstaluje s novým SAP Instalace databáze HANA. Je platný 90 dní a později lze požádat o Permanentní klíč od SAP.
Autorizace správy licencí
"SPRÁVCE LICENCE" pro správu licencí jsou vyžadována oprávnění.
SAP HANA Auditing
SAP Funkce HANA Auditing vám umožní sledovat a zaznamenávat akce, které se provádějí SAP Systém HANA. Tyto funkce by měly být pro systém aktivovány před vytvořením zásady auditu.
Oprávnění pro SAP HANA Auditing
"ADMIN AUDITU"Systémová oprávnění vyžadovaná pro SAP HANA Auditing.
Shrnutí
V tomto tutoriálu jsme se naučili následující téma –
- SAP Přehled zabezpečení HANA.
- SAP HANA Autentizace v detailu.
- SAP Autorizace HANA podrobně.
- SAP Metoda správy uživatelů HANA.
- SAP Metoda správy rolí HANA
- SAP Proces správy licencí HANA.
- SAP Proces auditu role HANA.