SAP HANA-Sicherheit: Vollständiges Tutorial

By: Maurer Garcia Maurer Garcia
Hours Aktualisiert

Was ist SAP Hana-Sicherheit?

SAP HANA Security schützt wichtige Daten vor unberechtigtem Zugriff und stellt sicher, dass die im Unternehmen festgelegten Sicherheitsstandards eingehalten und eingehalten werden.

SAP HANA bietet eine Funktion, d. h. Multitenant-Datenbanken, in denen mehrere Datenbanken auf einer einzigen SAP HANA-System. Es ist als Multitenant-Datenbankcontainer bekannt. SAP HANA bietet alle sicherheitsrelevanten Funktionen für alle Multitenant-Datenbankcontainer.

SAP HANA Stellen Sie die folgenden sicherheitsrelevanten Funktionen bereit –

  • Benutzer- und Rollenverwaltung
  • Genehmigung
  • Authentifizierung
  • Verschlüsselung der Daten im Persistence Layer
  • Verschlüsselung von Daten in der Netzwerkschicht

SAP HANA-Benutzer und -Rolle

SAP Die Konfiguration der HANA-Benutzer- und Rollenverwaltung hängt wie folgt von der Architektur ab:

  1. 3-Tier ArchiStruktur.

    SAP HANA kann als relationale Datenbank in einem 3-Tier- ArchiStruktur.

    In dieser Architektur werden Sicherheitsfunktionen (Autorisierung, Authentifizierung, Verschlüsselung und Überwachung) auf Anwendungsserverebenen installiert.

    SAP Die Anwendung (ERP, BW usw.) stellt nur mit Hilfe eines technischen Benutzers oder Datenbankadministrators (Basisperson) eine Verbindung zur Datenbank her. Der Endbenutzer kann nicht direkt auf die Datenbank oder den Datenbankserver zugreifen.

SAP HANA 3-Tier Architektur

  1. 2-Tier ArchiStruktur.

    SAP HANA Erweiterte Anwendungsdienste (SAP (HANA XS) basiert auf 2-Tier ArchiTechnologie, bei der Anwendungsserver, Webserver und Entwicklungsumgebung in einem einzigen System eingebettet sind.

SAP HANA 2-Tier Architektur

SAP HANA-Authentifizierung

Der Datenbankbenutzer identifiziert den Benutzer, der auf die SAP HANA-Datenbank. Sie wird durch einen Prozess namens „Authentifizierung“ überprüft. SAP HANA unterstützt viele Authentifizierungsmethoden. Single Sign-on (SSO) wird verwendet, um mehrere Authentifizierungsmethoden zu integrieren.

SAP HANA unterstützt folgende Authentifizierungsmethode –

  • Kerberos: Es kann in folgenden Fällen verwendet werden –
  • Direkt vom JDBC- und ODBC-Client (SAP HANA Studio).

  • Bei Verwendung von HTTP für den Zugriff SAP HANA XS.

  • Benutzername Passwort Wenn der Benutzer seinen Datenbank-Benutzernamen und sein Passwort eingibt, dann SAP Die HANA-Datenbank authentifiziert den Benutzer.

  • Security Assertion Markup Language (SAML)

    SAML kann zur Authentifizierung verwendet werden SAP HANA-Benutzer, der auf SAP HANA-Datenbank direkt über ODBC/JDBC. Dabei wird die externe Benutzeridentität dem internen Datenbankbenutzer zugeordnet, sodass sich der Benutzer mit der externen Benutzer-ID bei der SAP-Datenbank anmelden kann.

  • SAP Anmelde- und Assertion-Tickets

    Der Benutzer kann durch Anmelde- oder Assertionstickets authentifiziert werden, die konfiguriert und dem Benutzer zum Erstellen eines Tickets ausgestellt werden.

  • X.509-Client-Zertifikate

    Wann SAP HANA XS-Zugriff über HTTP. Zur Authentifizierung des Benutzers können von einer vertrauenswürdigen Zertifizierungsstelle (CA) signierte Client-Zertifikate verwendet werden.

SAP HANA-Autorisierung

SAP Eine HANA-Autorisierung ist erforderlich, wenn ein Benutzer über die Client-Schnittstelle (JDBC, ODBC oder HTTP) auf das SAP HANA-Datenbank.

Abhängig von der dem Benutzer erteilten Berechtigung kann er Datenbankoperationen am Datenbankobjekt durchführen. Diese Berechtigung wird als „Berechtigungen“ bezeichnet.

Die Berechtigungen können dem Benutzer direkt oder indirekt (über Rollen) gewährt werden. Alle den Benutzern zugewiesenen Berechtigungen werden in einer Einheit zusammengefasst.

Wenn ein Benutzer versucht, auf eine SAP HANA-Datenbankobjekt, HANA-System führt über Benutzerrollen eine Autorisierungsprüfung des Benutzers durch und erteilt die Berechtigungen direkt.

Wenn angeforderte Berechtigungen gefunden werden, überspringt das HANA-System weitere Prüfungen und gewährt Zugriff auf angeforderte Datenbankobjekte.

In SAP HANA folgende Privilegien sind ihre –

Berechtigungstypen Beschreibung
Systemprivilegien Es steuert die normale Systemaktivität. Systemprivilegien werden hauptsächlich verwendet für –

  • Erstellen und Löschen eines Schemas in SAP HANA-Datenbank
  • Verwalten von Benutzern und Rollen in SAP HANA-Datenbank
  • Überwachung und Rückverfolgung von SAP HANA-Datenbank
  • Durchführen von Datensicherungen
  • Lizenz verwalten
  • Verwaltungsversion
  • Prüfungsmanagement
  • Inhalte importieren und exportieren
  • Liefereinheiten pflegen
Objektberechtigungen Objektprivilegien sind SQL Berechtigungen, mit denen die Berechtigung zum Lesen und Ändern von Datenbankobjekten erteilt wird. Für den Zugriff auf Datenbankobjekte benötigt der Benutzer Objektberechtigungen für Datenbankobjekte oder für das Schema, in dem das Datenbankobjekt vorhanden ist. Objektberechtigungen können für Katalogobjekte (Tabelle, Ansicht usw.) oder Nichtkatalogobjekte (Entwicklungsobjekte) gewährt werden.
Die Objektprivilegien sind wie folgt:

  • ERSTELLEN SIE JEDE
  • AKTUALISIEREN, EINFÜGEN, AUSWÄHLEN, LÖSCHEN, DROP, ÄNDERN, AUSFÜHREN
  • INDEX, TRIGGER, DEBUG, REFERENZEN
Analytische Privilegien Analytische Privilegien werden verwendet, um Lesezugriff auf Daten von SAP HANA-Informationsmodell (Attributansicht, Analyseansicht, Berechnungsansicht).

  • Dieses Privileg wird während der Abfrageverarbeitung ausgewertet.
  • Analytische Berechtigungen gewähren unterschiedlichen Benutzerzugriff auf verschiedene Teile der Daten im
  • Gleiche Informationsansicht basierend auf der Benutzerrolle.
  • Analytische Privilegien werden verwendet in SAP HANA-Datenbank zur Bereitstellung von Daten auf Zeilenebene

Die Steuerung für einzelne Benutzer zum Anzeigen der Daten erfolgt in derselben Ansicht.
Paketprivilegien Paketberechtigungen werden verwendet, um Autorisierungen für Aktionen an einzelnen Paketen zu erteilen in SAP HANA-Repository.
Anwendungsprivilegien Anwendungsberechtigungen sind erforderlich in In SAP HANA Erweiterte Anwendungsdienste (SAP HANA XS) für die Zugriffsanwendung.

Anwendungsberechtigungen werden über die Prozeduren GRANT_APPLICATION_PRIVILEGE und REVOKE_APPLICATION_PRIVILEGE im Schema _SYS_REPO gewährt und widerrufen.
Berechtigungen für Benutzer Es handelt sich um SQL-Berechtigungen, die der Benutzer seinem eigenen Benutzer gewähren kann. ATTACH DEBUGGER ist die einzige Berechtigung, die einem Benutzer gewährt werden kann.

ÄHNLICHE ARTIKEL

SAP HANA-Benutzerverwaltung und Rollenmanagement

Zugreifen SAP HANA-Datenbank, Benutzer sind erforderlich. Abhängig von der unterschiedlichen Sicherheitsrichtlinie gibt es zwei Arten von Benutzern in SAP HANA wie unten –

  1. Technischer Benutzer (DBA-Benutzer) – Es handelt sich um einen Benutzer, der direkt mit SAP HANA-Datenbank mit den erforderlichen Berechtigungen. Normalerweise werden diese Benutzer nicht aus der Datenbank gelöscht.

    Diese Benutzer werden für eine Verwaltungsaufgabe wie das Erstellen eines Objekts und das Gewähren von Berechtigungen für ein Datenbankobjekt oder für die Anwendung erstellt.

    SAP Das HANA-Datenbanksystem stellt standardmäßig den folgenden Benutzer als Standardbenutzer bereit:

  • SYSTEM
  • SYS
  • _SYS_REPO

  1. Datenbank oder echter Benutzer: Jeder Benutzer, der an SAP HANA-Datenbank, benötigen Sie einen Datenbankbenutzer. Datenbankbenutzer sind eine echte Person, die an SAP HANA.

    Es gibt zwei Arten von Datenbankbenutzern:

User Type Beschreibung Rolle zugewiesen
Standardbenutzer Dieser Benutzer kann Objekte in einem eigenen Schema erstellen und Daten in Systemansichten lesen. Standardbenutzer, der mit der Anweisung „CREATE USER“ erstellt wurde. Für lesende Systemansichten wird die Rolle PUBLIC zugewiesen.
Eingeschränkter Benutzer Der eingeschränkte Benutzer hat über eine SQL-Konsole keinen vollständigen SQL-Zugriff und wird mit der Anweisung „CREATE RESTRICTED USER“ erstellt. Wenn für die Nutzung einer Anwendung Berechtigungen erforderlich sind, werden diese über die Rolle bereitgestellt.

  • Eingeschränkter Benutzer kann keine Datenbankobjekte erstellen.
  • Eingeschränkter Benutzer kann keine Daten in der Datenbank anzeigen.
  • Eingeschränkter Benutzer stellt nur über HTTP eine Verbindung zur Datenbank her.
  • Der ODBC/JDBC-Zugriff für die Clientverbindung muss mit einer SQL-Anweisung aktiviert werden.
 Für den vollständigen Zugriff auf die ODBC/JDBC-Funktionalität ist die Rolle RESTRICTED_USER_ODBC_ACCESS oder RESTRICTED_USER_JDBC_ACCESS für den Benutzer erforderlich

SAP HANA-Benutzeradministratoren haben Zugriff auf die folgenden Aktivitäten:

  1. Benutzer erstellen/löschen.
  2. Rolle definieren und erstellen.
  3. Weisen Sie dem Benutzer eine Rolle zu.
  4. Benutzerpasswort zurücksetzen.
  5. Benutzer je nach Bedarf wieder aktivieren/deaktivieren.

1. Benutzer anlegen in SAP HANA- nur Datenbankbenutzer mit ROLE ADMIN-Berechtigungen können Benutzer und Rollen in SAP HANA.

Schritt 1) So erstellen Sie einen neuen Benutzer in SAP Gehen Sie im HANA Studio zur Registerkarte „Sicherheit“, wie unten gezeigt, und befolgen Sie die folgenden Schritte:

  1. Gehen Sie zum Sicherheitsknoten.
  2. Wählen Sie Benutzer (Rechtsklick) -> Neuer Benutzer.

Benutzer erstellen in SAP HANA

Schritt 2) Ein Bildschirm zur Benutzererstellung wird angezeigt.

  1. Geben Sie den Benutzernamen ein.
  2. Geben Sie das Passwort für den Benutzer ein.
  3. Dabei handelt es sich um Authentifizierungsmechanismen. Standardmäßig wird zur Authentifizierung Benutzername/Passwort verwendet.

Benutzer erstellen in SAP HANA

Durch Klicken auf „Bereitstellen“.Benutzer erstellen in SAP HANASchaltflächenbenutzer wird erstellt.

2. Rolle definieren und erstellen

Eine Rolle ist eine Sammlung von Berechtigungen, die anderen Benutzern oder Rollen gewährt werden können. Die Rolle umfasst Berechtigungen für Datenbankobjekte und -anwendungen und hängt von der Art des Auftrags ab.

Es handelt sich um einen Standardmechanismus zum Erteilen von Berechtigungen. Berechtigungen können direkt an den Benutzer vergeben werden. Es gibt viele Standardrollen (z. B. MODELLING, MONITORING usw.) in SAP HANA-Datenbank.

Wir können die Standardrolle als Vorlage für die Erstellung einer benutzerdefinierten Rolle verwenden.

Eine Rolle kann folgende Berechtigungen enthalten –

  • Systemrechte für Verwaltungs- und Entwicklungsaufgaben (KATALOGLESEN, AUDIT-ADMIN usw.)
  • Objektrechte für Datenbankobjekte (SELECT, INSERT, DELETE usw.)
  • Analytische Berechtigungen für SAP HANA-Informationsansicht
  • Paketberechtigungen für Repository-Pakete (REPO.READ, REPO.EDIT_NATIVE_OBJECTS usw.)
  • Anwendungsberechtigungen für SAP HANA XS-Anwendungen.
  • Berechtigungen für den Benutzer (zum Debuggen der Prozedur).

Rollenerstellung

Schritt 1) In diesem Schritt

  1. Gehen Sie zum Knoten „Sicherheit“ in SAP HANA-System.
  2. Wählen Sie den Rollenknoten aus (Rechtsklick) und wählen Sie Neue Rolle.

Rollenerstellung in SAP HANA

Schritt 2) Ein Bildschirm zur Rollenerstellung wird angezeigt.

Rollenerstellung in SAP HANA

  1. Geben Sie unter „Neuer Rollenblock“ einen Rollennamen ein.
  2. Wählen Sie die Registerkarte „Gewährte Rolle“ und klicken Sie auf das „+“-Symbol, um eine Standardrolle hinzuzufügen oder die Rolle zu verlassen.
  3. Wählen Sie die gewünschte Rolle (z. B. MODELLIERUNG, ÜBERWACHUNG usw.)

Schritt 3) In diesem Schritt

  1. Die ausgewählte Rolle wird zur Registerkarte „Gewährte Rollen“ hinzugefügt.
  2. Berechtigungen können dem Benutzer direkt zugewiesen werden, indem Systemprivilegien, Objektprivilegien, Analyseprivilegien, Paketprivilegien usw. ausgewählt werden.
  3. Klicken Sie auf das Bereitstellungssymbol, um eine Rolle zu erstellen.

Rollenerstellung in SAP HANA

Aktivieren Sie die Option „An andere Benutzer und Rollen gewähren“, wenn Sie diese Rolle anderen Benutzern und Rollen zuweisen möchten.

3. Weisen Sie dem Benutzer eine Rolle zu

Schritt 1) In diesem Schritt weisen wir die Rolle „MODELLING_VIEW“ einem anderen Benutzer „ABHI_TEST“ zu.

  1. Gehen Sie zum Unterknoten „Benutzer“ unter dem Knoten „Sicherheit“ und doppelklicken Sie darauf. Das Benutzerfenster wird angezeigt.
  2. Klicken Sie auf das Symbol „+“ für „Zugeteilte Rollen“.
  3. Es erscheint ein Popup mit dem Namen der Suchrolle, der dem Benutzer zugewiesen wird.

Gewähren Sie dem Benutzer eine Rolle in SAP HANA

Schritt 2) In diesem Schritt wird unter Rolle die Rolle „MODELLING_VIEW“ hinzugefügt.

Gewähren Sie dem Benutzer eine Rolle in SAP HANA

Schritt 3) In diesem Schritt

  1. Klicken Sie auf die Schaltfläche „Bereitstellen“.
  2. Die Meldung „Benutzer ‚ABHI_TEST‘ geändert“ wird angezeigt.

Gewähren Sie dem Benutzer eine Rolle

4. Zurücksetzen des Benutzerpassworts

Wenn das Benutzerkennwort zurückgesetzt werden muss, gehen Sie zum Unterknoten „Benutzer“ unter dem Knoten „Sicherheit“ und doppelklicken Sie darauf. Das Benutzerfenster wird angezeigt.

Schritt 1) In diesem Schritt

  1. Neues Passwort eingeben.
  2. Geben Sie das Kennwort bestätigen ein.

Benutzerpasswort zurücksetzen

Schritt 2) In diesem Schritt

  1. Klicken Sie auf die Schaltfläche „Bereitstellen“.
  2. Die Meldung „Benutzer ‚ABHI_TEST‘ geändert“ wird angezeigt.

Zurücksetzen des Benutzerkennworts in SAP HANA

5. Benutzer erneut aktivieren/deaktivieren

Gehen Sie zum Unterknoten „Benutzer“ unter dem Knoten „Sicherheit“ und doppelklicken Sie darauf. Das Benutzerfenster wird angezeigt.

Es gibt ein Symbol zum Deaktivieren des Benutzers. Klick es an

Benutzer erneut aktivieren/deaktivieren in SAP HANA

Es erscheint eine Bestätigungsmeldung „Popup“. Klicken Sie auf die Schaltfläche „Ja“.

Benutzer erneut aktivieren/deaktivieren in SAP HANA

Die Meldung „Benutzer ‚ABHI_TEST‘ deaktiviert“ wird angezeigt. Das Deaktivieren-Symbol ändert sich in „Benutzer aktivieren“. Jetzt können wir den Benutzer über dasselbe Symbol aktivieren.

SAP HANA-Lizenzmanagement

Der Lizenzschlüssel ist erforderlich zur Nutzung SAP HANA-Datenbank. Ein Lizenzschlüssel kann installiert und gelöscht werden mit SAP HANA Studio, SAP HANA HDBSQL-Befehlszeilentool und HANA SQL-Abfrage-Editor.

SAP Die HANA-Datenbank unterstützt zwei Arten von Lizenzschlüsseln –

  • Permanenter Lizenzschlüssel: Permanente Lizenzschlüssel sind bis zum Ablaufdatum gültig. Wir müssen den Lizenzschlüssel vor Ablauf anfordern und anwenden. Wenn der Lizenzschlüssel abläuft, wird der temporäre Lizenzschlüssel automatisch für 28 Tage installiert.
  • Temporärer Lizenzschlüssel: Diese wird automatisch mit einem neuen SAP HANA-Datenbankinstallation. Es ist 90 Tage gültig und kann später einen permanenten Schlüssel beantragen von SAP.

Autorisierung des Lizenzmanagements

„LIZENZADMIN“ Für die Lizenzverwaltung sind Berechtigungen erforderlich.

SAP HANA-Auditing

SAP Mit den HANA-Auditing-Funktionen können Sie Aktionen überwachen und aufzeichnen, die ausgeführt werden in SAP HANA-System. Diese Funktionen sollten für das System aktiviert werden, bevor die Überwachungsrichtlinie erstellt wird.

Genehmigung für SAP HANA-Auditing

„PRÜFUNGSADMIN“Systemberechtigungen erforderlich für SAP HANA-Auditing.

Zusammenfassung

In diesem Tutorial haben wir folgendes Thema gelernt –

  • SAP Übersicht zur HANA-Sicherheit.
  • SAP HANA-Authentifizierung im Detail.
  • SAP HANA-Autorisierung im Detail.
  • SAP HANA-Benutzerverwaltungsmethode.
  • SAP HANA-Rollenverwaltungsmethode
  • SAP HANA-Lizenzverwaltungsprozess.
  • SAP HANA-Rollenprüfungsprozess.

Du magst vielleicht: