SAP HANA Security: Komplet selvstudium

Af: Murer Garcia Murer Garcia
Hours Opdateret

Hvad er Sap Hana Security?

SAP HANA Security beskytter vigtige data mod uautoriseret adgang og sikrer, at standarderne og compliance opfylder som sikkerhedsstandard vedtaget af virksomheden.

SAP HANA tilbyder en facilitet, dvs. Multitenant-database, hvor flere databaser kan oprettes på en enkelt SAP HANA system. Det er kendt som multitenant database container. Så SAP HANA leverer alle sikkerhedsrelaterede funktioner til alle multitenant-databasecontainere.

SAP HANA Giv følgende sikkerhedsrelaterede funktion –

  • Bruger- og rollestyring
  • Tilladelse
  • Godkendelse
  • Kryptering af data i Persistence Layer
  • Kryptering af data i netværkslag

SAP HANA bruger og rolle

SAP HANA bruger- og rollestyringskonfiguration afhænger af arkitekturen som nedenfor –

  1. 3-Tier Architecture.

    SAP HANA kan bruges som en relationsdatabase i en 3-Tier Architecture.

    I denne arkitektur er sikkerhedsfunktioner (autorisation, godkendelse, kryptering og revision) installeret på applikationsserverlagene.

    SAP applikation (ERP, BW, osv.) forbinder kun til databasen med hjælp fra en teknisk bruger eller databaseadministrator (Basis Person). Slutbrugeren kan ikke få direkte adgang til databasen eller databaseserveren.

SAP HANA 3-tier Architecture

  1. 2-Tier Architecture.

    SAP HANA Extended Application Services (SAP HANA XS) er baseret på 2-Tier Architecture, hvor applikationsserver, webserver og udviklingsmiljø er indlejret i et enkelt system.

SAP HANA 2-tier Architecture

SAP HANA-godkendelse

Databasebrugeren identificerer, hvem der har adgang til SAP HANA Database. Det verificeres gennem en proces kaldet "godkendelse". SAP HANA understøtter mange godkendelsesmetoder. Single Sign-on (SSO) bruges til at integrere flere godkendelsesmetoder.

SAP HANA understøtter følgende godkendelsesmetode -

  • Kerberos: Det kan bruges i følgende tilfælde -
  • Direkte fra JDBC og ODBC Client (SAP HANA Studio).

  • Når HTTP bruges til at få adgang SAP HANA XS.

  • Brugernavn Kodeord Når brugeren indtaster deres databasebrugernavn og adgangskode, så SAP HANA-databasen godkender brugeren.

  • Security Assertion Markup Language (SAML)

    SAML kan bruges til at godkende SAP HANA-bruger, der tilgår SAP HANA Database direkte gennem ODBC/JDBC. Det er en proces med at kortlægge ekstern brugeridentitet til den interne databasebruger, så brugeren kan logge på sap-databasen med det eksterne bruger-id.

  • SAP Logon og Assertion-billetter

    Brugeren kan godkendes af Logon eller Assertion Tickets, som konfigureres og udstedes til brugeren for at oprette en billet.

  • X.509 klientcertifikater

    Hvornår SAP HANA XS Adgang via HTTP, klientcertifikater underskrevet af en betroet certificeringsmyndighed (CA) kan bruges til at godkende brugeren.

SAP HANA-autorisation

SAP HANA-autorisation er påkrævet, når en bruger bruger klientgrænsefladen (JDBC, ODBC eller HTTP) for at få adgang til SAP HANA database.

Afhængigt af den autorisation, der er givet til brugeren, kan den udføre databasehandlinger på databaseobjektet. Denne autorisation kaldes "privilegier".

Privilegierne kan gives til brugeren direkte eller indirekte (gennem roller). Alle rettigheder, der tildeles brugere, kombineres som en enkelt enhed.

Når en bruger forsøger at få adgang til evt SAP HANA Database-objekt, HANA System udfører autorisationskontrol af brugeren gennem brugerroller og tildeler direkte privilegierne.

Når anmodede privilegier fundet, springer HANA-systemet yderligere kontroller over og giver adgang til anmodningsdatabaseobjekter.

In SAP HANA følgende privilegier er deres –

Privilegier typer Description
Systemprivilegier Det styrer normal systemaktivitet. Systemprivilegier bruges hovedsageligt til –

  • Oprettelse og sletning af skema i SAP HANA Database
  • Håndtering af bruger og rolle i SAP HANA Database
  • Overvågning og sporing af SAP HANA database
  • Udførelse af sikkerhedskopiering af data
  • Administration af licens
  • Administrerende version
  • Ledelse af revision
  • Import og eksport af indhold
  • Vedligeholdelse af leveringsenheder
Objektprivilegier Objektprivilegier er SQL privilegier, der bruges til at give tilladelse til at læse og ændre databaseobjekter. For at få adgang til databaseobjekter skal brugeren have objektprivilegier på databaseobjekter eller på det skema, hvori databaseobjektet findes. Objektprivilegier kan gives til katalogobjekter (tabel, visning osv.) eller ikke-katalogobjekter (udviklingsobjekter).
Objektprivilegier er som nedenfor –

  • OPRET ENHVER
  • OPDATERE, INDSÆT, VÆLG, SLET, DROP, ÆNDRING, UDFØR
  • INDEX, TRIGGER, DEBUG, REFERENCER
Analytiske privilegier Analytiske privilegier bruges til at tillade læseadgang til data fra SAP HANA Informationsmodel (attributvisning, analytisk visning, beregningsvisning).

  • Dette privilegium evalueres under forespørgselsbehandlingen.
  • Analytiske privilegier giver forskellig brugeradgang til forskellige dele af data i
  • Samme informationsvisning baseret på brugerrolle.
  • Analytiske privilegier bruges i SAP HANA-database til at levere data på rækkeniveau

Kontrol for individuelle brugere til at se dataene er i samme visning.
Pakkeprivilegier Pakkeprivilegier bruges til at give autorisation til handlinger på individuelle pakker i SAP HANA Repository.
Ansøgningsprivilegier Ansøgningsprivilegier er påkrævet i In SAP HANA Extended Application Services (SAP HANA XS) til adgangsapplikation.

Applikationsrettigheder tildeles og tilbagekaldes gennem procedurerneGRANT_APPLICATION_PRIVILEGE og REVOKE_APPLICATION_PRIVILEGE i _SYS_REPO-skemaet.
Privilegier på bruger Det er en SQL-privilegier, som kan tildeles af brugeren på egen bruger. ATTACH DEBUGGER er det eneste privilegium, der kan gives til en bruger.

RELATEREDE ARTIKLER

SAP HANA Brugeradministration og Rollestyring

Til Adgang SAP HANA-database, brugere er påkrævet. Afhængigt af den forskellige sikkerhedspolitik er der to typer brugere i SAP HANA som nedenfor –

  1. Teknisk bruger (DBA-bruger) – Det er en bruger, der direkte arbejder med SAP HANA-database med nødvendige privilegier. Normalt bliver disse brugere ikke slettet fra databasen.

    Disse brugere er oprettet til en administrativ opgave, såsom oprettelse af et objekt og tildeling af privilegier på databaseobjekt eller på applikationen.

    SAP HANA-databasesystemet giver følgende bruger som standard som standardbruger–

  • SYSTEM
  • SYS
  • _SYS_REPO

  1. Database eller rigtig bruger: Hver bruger, der ønsker at arbejde på SAP HANA-database, har brug for en databasebruger. Databasebrugere er en rigtig person, der arbejder på SAP HANA.

    Der er to typer databasebrugere som nedenfor –

Bruger type Description Rolle tildelt
Standardbruger Denne bruger kan oprette objekter i et eget skema og læse data i systemvisninger. Standardbruger oprettet med "CREATE USER"-sætning. OFFENTLIG rolle er tildelt for læste systemvisninger.
Begrænset bruger Begrænset bruger har ingen fuld SQL-adgang via en SQL-konsol og oprettet med "CREATE RESTRICTED USER"-sætning. Hvis der kræves privilegier til brug af en applikation, gives de gennem rollen.

  • Begrænset bruger kan ikke oprette databaseobjekter.
  • Begrænset bruger kan ikke se data i databasen.
  • Begrænset bruger opretter forbindelse til databasen kun via HTTP.
  • ODBC/JDBC-adgang til klientforbindelse skal være aktiveret med SQL-sætning.
 RESTRICTED_USER_ODBC_ACCESS eller RESTRICTED_USER_JDBC_ACCESS rolle påkrævet for brugeren for fuld adgang til ODBC/JDBC-funktionalitet

SAP HANA-brugeradministrator har adgang til følgende aktivitet –

  1. Opret/slet bruger.
  2. Definer og opret rolle.
  3. Tildel rolle til brugeren.
  4. Nulstilling af brugeradgangskode.
  5. Genaktiver/deaktiver bruger efter behov.

1. Opret bruger i SAP HANA- kun databasebruger med ROLE ADMIN-rettigheder kan oprette bruger og rolle i SAP HANA.

Trin 1) For at oprette ny bruger i SAP HANA Studio gå til sikkerhedsfanen som vist nedenfor og følg følgende trin;

  1. Gå til sikkerhedsnoden.
  2. Vælg Brugere (højreklik) -> Ny bruger.

Opret bruger i SAP HANA

Trin 2) En brugeroprettelsesskærm vises.

  1. Indtast brugernavn.
  2. Indtast adgangskode for brugeren.
  3. Disse er godkendelsesmekanismer, som standard bruges brugernavn / adgangskode til godkendelse.

Opret bruger i SAP HANA

Ved at klikke på implementeringenOpret bruger i SAP HANAKnapbruger vil blive oprettet.

2. Definer og opret rolle

En rolle er en samling af privilegier, der kan gives til andre brugere eller roller. Rollen inkluderer privilegier til databaseobjekt & applikation og afhængigt af jobbets art.

Det er en standardmekanisme til at give privilegier. Privilegier kan gives direkte til brugeren. Der er mange standardroller (f.eks. MODELLERING, OVERVÅGNING osv.) tilgængelige i SAP HANA database.

Vi kan bruge standardrollen som skabelon til at oprette en tilpasset rolle.

En rolle kan indeholde følgende privilegier –

  • Systemprivilegier til administrations- og udviklingsopgaver (KATALOG LÆS, REVISION ADMIN osv.)
  • Objektprivilegier for databaseobjekter (SELECT, INSERT, DELETE osv.)
  • Analytiske privilegier til SAP HANA-informationsvisning
  • Pakkeprivilegier på lagerpakker (REPO.READ, REPO.EDIT_NATIVE_OBJECTS osv.)
  • Ansøgningsprivilegier til SAP HANA XS applikationer.
  • Privilegier for brugeren (til fejlretning af procedure).

Rolleskabelse

Trin 1) I dette trin,

  1. Gå til Security node in SAP HANA system.
  2. Vælg Rolleknude (højreklik), og vælg Ny rolle.

Rolleskabelse i SAP HANA

Trin 2) En rolleoprettelsesskærm vises.

Rolleskabelse i SAP HANA

  1. Angiv rollenavn under Ny rolleblok.
  2. Vælg fanen Givet rolle, og klik på "+"-ikonet for at tilføje standardrolle eller afsluttende rolle.
  3. Vælg den ønskede rolle (f.eks. MODELLERING, OVERVÅGNING osv.)

Trin 3) I dette trin,

  1. Den valgte rolle tilføjes i fanen Tildelte roller.
  2. Privilegier kan tildeles brugeren direkte ved at vælge Systemprivilegier, objektprivilegier, analytiske privilegier, pakkeprivilegier osv.
  3. Klik på implementeringsikonet for at oprette en rolle.

Rolleskabelse i SAP HANA

Sæt flueben i "Tildeles til andre brugere og roller", hvis du ønsker at tildele denne rolle til en anden bruger og rolle.

3. Tildel rolle til bruger

Trin 1) I dette trin vil vi tildele rollen "MODELLING_VIEW" til en anden bruger "ABHI_TEST".

  1. Gå til User sub-node under Security node og dobbeltklik på den. Brugervinduet vises.
  2. Klik på Tildelte roller "+"-ikonet.
  3. Der vises en pop op, Søgerollenavn, som vil blive tildelt brugeren.

Tildel rolle til bruger i SAP HANA

Trin 2) I dette trin tilføjes rollen "MODELLING_VIEW" under Rolle.

Tildel rolle til bruger i SAP HANA

Trin 3) I dette trin,

  1. Klik på Deploy-knappen.
  2. En meddelelse "Bruger 'ABHI_TEST" ændret vises.

Tildel rolle til bruger

4. Nulstilling af brugeradgangskode

Hvis brugeradgangskoden skal nulstilles, skal du gå til User sub-node under Security node og dobbeltklikke på den. Brugervinduet vises.

Trin 1) I dette trin,

  1. Indtast ny adgangskode.
  2. Indtast Bekræft adgangskode.

Nulstilling af brugeradgangskode

Trin 2) I dette trin,

  1. Klik på Deploy-knappen.
  2. En meddelelse "Bruger 'ABHI_TEST" ændret vises.

Nulstilling af brugeradgangskode i SAP HANA

5. Genaktiver/deaktiver bruger

Gå til User sub-node under Security node og dobbeltklik på den. Brugervinduet vises.

Der er ikonet Deaktiver bruger. Klik på den

Genaktiver/deaktiver bruger i SAP HANA

En bekræftelsesmeddelelse "Popup" vises. Klik på 'Ja'-knappen.

Genaktiver/deaktiver bruger i SAP HANA

En meddelelse "Bruger 'ABHI_TEST' deaktiveret" vil blive vist. De-aktiver ikonet ændres med navnet "Aktiver bruger". Nu kan vi aktivere bruger fra det samme ikon.

SAP HANA Licens Management

Licensnøglen er påkrævet for at bruge SAP HANA Database. En licensnøgle kan installeres og slettes vha SAP HANA Studio, SAP HANA HDBSQL kommandolinjeværktøj og HANA SQL Query editor.

SAP HANA-database understøtter to typer licensnøgler –

  • Permanent licensnøgle: Permanente licensnøgler er gyldige indtil udløbsdatoen. Vi skal anmode om og anvende licensnøgle inden udløb. Hvis licensnøglen udløber, installeres den midlertidige licensnøgle automatisk i 28 dage.
  • Midlertidig licensnøgle: Denne installeres automatisk med en ny SAP HANA-databaseinstallation. Den er gyldig i 90 dage og senere kan ansøges om Permanent nøgle fra SAP.

Autorisation af Licens Management

"LICENSADMINISTRATION" privilegier er påkrævet for Licensadministration.

SAP HANA revision

SAP HANA Auditing-funktioner giver dig mulighed for at overvåge og registrere handlinger, der udføres i SAP HANA system. Disse funktioner skal aktiveres for systemet, før der oprettes revisionspolitik.

Autorisation til SAP HANA revision

"AUDIT ADMIN"Systemprivilegier kræves for SAP HANA revision.

Resumé

I denne tutorial har vi lært følgende emne -

  • SAP HANA Sikkerhedsoversigt.
  • SAP HANA-godkendelse i detaljer.
  • SAP HANA-autorisation i detaljer.
  • SAP HANA brugeradministrationsmetode.
  • SAP HANA rolleadministrationsmetode
  • SAP HANA licensstyringsproces.
  • SAP HANA Rollerevisionsproces.

Du kan lide: