SAP HANA-Sicherheit: Vollständiges Tutorial

Was ist SAP Hana-Sicherheit?

SAP HANA Security schützt wichtige Daten vor unbefugtem Zugriff und stellt sicher, dass die Standards und Compliance dem vom Unternehmen übernommenen Sicherheitsstandard entsprechen.

SAP HANA bietet eine Funktion, nämlich eine Multitenant-Datenbank, in der mehrere Datenbanken auf einem einzigen SAP HANA-System erstellt werden können. Es wird als Multitenant-Datenbankcontainer bezeichnet. Daher bietet SAP HANA alle sicherheitsrelevanten Funktionen für alle mehrinstanzenfähigen Datenbankcontainer.

SAP HANA Stellen Sie Folgendes bereitwing sicherheitsrelevante Funktion –

  • Benutzer- und Rollenverwaltung
  • Genehmigung
  • Authentifizierung
  • Verschlüsselung der Daten im Persistence Layer
  • Verschlüsselung von Daten in der Netzwerkschicht

SAP HANA-Benutzer und -Rolle

Die Konfiguration der SAP HANA-Benutzer- und Rollenverwaltung hängt davon ab archiStruktur wie unten –

  1. 3-Tier ArchiStruktur.

    SAP HANA kann als relationale Datenbank in einem 3-Tier-System verwendet werden ArchiStruktur.

    In diesem archiStruktur und Sicherheitsfunktionen (Autorisierung, Authentifizierung, Verschlüsselung und Überwachung) werden auf Anwendungsserverebenen installiert.

    SAP-Anwendungen (ERP, BW usw.) stellen nur mit Hilfe eines technischen Benutzers oder Datenbankadministrators (Basisperson) eine Verbindung zur Datenbank her. Der Endbenutzer kann nicht direkt auf die Datenbank oder den Datenbankserver zugreifen.

SAP HANA 3-stufig Architektur

  1. 2-Tier ArchiStruktur.

    SAP HANA Extended Application Services (SAP HANA XS) basiert auf 2-Tier ArchiTechnologie, bei der Anwendungsserver, Webserver und Entwicklungsumgebung in einem einzigen System eingebettet sind.

SAP HANA 2-stufig Architektur

SAP HANA-Authentifizierung

Der Datenbankbenutzer gibt an, wer auf die SAP HANA-Datenbank zugreift. Die Überprüfung erfolgt durch einen Prozess namens „Authentifizierung“. SAP HANA unterstützt viele Authentifizierungsmethoden. Single Sign-on (SSO) wird verwendet, um mehrere Authentifizierungsmethoden zu integrieren.

SAP HANA unterstützt Folgendeswing Authentifizierungsmethode -

  • Kerberos: Es kann im Folgenden verwendet werdenwing Fall -
  • Direkt vom JDBC- und ODBC-Client (SAP HANA Studio).
  • Wenn HTTP für den Zugriff auf SAP HANA XS verwendet wird.

  • Benutzername Passwort Wenn der Benutzer seinen Datenbankbenutzernamen und sein Kennwort eingibt, authentifiziert die SAP-HANA-Datenbank den Benutzer.

  • Security Assertion Markup Language (SAML)

    SAML kann zur Authentifizierung von SAP HANA-Benutzern verwendet werden, die direkt über ODBC/JDBC auf die SAP HANA-Datenbank zugreifen. Dabei handelt es sich um einen Prozess, bei dem die externe Benutzeridentität dem internen Datenbankbenutzer zugeordnet wird, sodass sich der Benutzer mit der externen Benutzer-ID in der SAP-Datenbank anmelden kann.

  • SAP-Anmelde- und Assertionstickets

    Der Benutzer kann durch Anmelde- oder Assertionstickets authentifiziert werden, die konfiguriert und dem Benutzer zum Erstellen eines Tickets ausgestellt werden.

  • X.509-Client-Zertifikate

    Beim Zugriff auf SAP HANA XS über HTTP können von einer vertrauenswürdigen Zertifizierungsstelle (CA) signierte Client-Zertifikate zur Authentifizierung des Benutzers verwendet werden.

SAP HANA-Autorisierung

Eine SAP HANA-Autorisierung ist erforderlich, wenn ein Benutzer eine Clientschnittstelle (JDBC, ODBC oder HTTP) verwendet, um auf die SAP HANA-Datenbank zuzugreifen.

Abhängig von der dem Benutzer erteilten Berechtigung kann er Datenbankfunktionen ausführen operationen zum Datenbankobjekt. Diese Autorisierung wird „Privilegien“ genannt.

Die Berechtigungen können dem Benutzer direkt oder indirekt (über Rollen) gewährt werden. Alle den Benutzern zugewiesenen Berechtigungen werden in einer Einheit zusammengefasst.

Wenn ein Benutzer versucht, auf ein SAP-HANA-Datenbankobjekt zuzugreifen, führt das HANA-System anhand von Benutzerrollen eine Berechtigungsprüfung für den Benutzer durch und gewährt die Berechtigungen direkt.

Wenn angeforderte Berechtigungen gefunden werden, überspringt das HANA-System weitere Prüfungen und gewährt Zugriff auf angeforderte Datenbankobjekte.

In SAP HANA folgenwing Privilegien sind ihre –

Berechtigungstypen Beschreibung
Systemprivilegien Es steuert die normale Systemaktivität. Systemprivilegien werden hauptsächlich verwendet für –

  • Erstellen und Löschen eines Schemas in der SAP HANA-Datenbank
  • Verwalten von Benutzern und Rollen in der SAP HANA-Datenbank
  • Überwachung und Nachverfolgung der SAP HANA-Datenbank
  • Durchführen von Datensicherungen
  • Lizenz verwalten
  • Verwaltungsversion
  • Prüfungsmanagement
  • Inhalte importieren und exportieren
  • Liefereinheiten pflegen
Objektberechtigungen Objektprivilegien sind SQL Berechtigungen, mit denen die Berechtigung zum Lesen und Ändern von Datenbankobjekten erteilt wird. Für den Zugriff auf Datenbankobjekte benötigt der Benutzer Objektberechtigungen für Datenbankobjekte oder für das Schema, in dem das Datenbankobjekt vorhanden ist. Objektberechtigungen können für Katalogobjekte (Tabelle, Ansicht usw.) oder Nichtkatalogobjekte (Entwicklungsobjekte) gewährt werden.
Die Objektprivilegien sind wie folgt:

  • ERSTELLEN SIE JEDE
  • AKTUALISIEREN, EINFÜGEN, AUSWÄHLEN, LÖSCHEN, DROP, ÄNDERN, AUSFÜHREN
  • INDEX, TRIGGER, DEBUG, REFERENZEN
Analytische Privilegien Analytische Berechtigungen werden verwendet, um Lesezugriff auf Daten des SAP HANA-Informationsmodells (Attributansicht, Analyseansicht, Berechnungsansicht) zu ermöglichen.

  • Dieses Privileg wird während der Abfrageverarbeitung ausgewertet.
  • Analytische Berechtigungen gewähren unterschiedlichen Benutzerzugriff auf verschiedene Teile der Daten im
  • Gleiche Informationsansicht basierend auf der Benutzerrolle.
  • Analytische Berechtigungen werden in der SAP HANA-Datenbank verwendet, um Daten auf Zeilenebene bereitzustellen

Die Steuerung für einzelne Benutzer zum Anzeigen der Daten erfolgt in derselben Ansicht.

Paketprivilegien Paketberechtigungen werden verwendet, um Berechtigungen für Aktionen für einzelne Pakete im SAP HANA Repository bereitzustellen.
Anwendungsprivilegien Für den Zugriff auf Anwendungen sind in SAP HANA Extended Application Services (SAP HANA XS) Anwendungsberechtigungen erforderlich.

Anwendungsberechtigungen werden über die Prozeduren GRANT_APPLICATION_PRIVILEGE und REVOKE_APPLICATION_PRIVILEGE im Schema _SYS_REPO gewährt und widerrufen.

Berechtigungen für Benutzer Es handelt sich um SQL-Berechtigungen, die der Benutzer seinem eigenen Benutzer gewähren kann. ATTACH DEBUGGER ist die einzige Berechtigung, die einem Benutzer gewährt werden kann.

SAP HANA-Benutzerverwaltung und Rollenverwaltung

Für den Zugriff auf die SAP HANA-Datenbank sind Benutzer erforderlich. Abhängig von der unterschiedlichen Sicherheitsrichtlinie gibt es in SAP HANA zwei Arten von Benutzern:

  1. Technischer Benutzer (DBA-Benutzer) – Es handelt sich um einen Benutzer, der mit den erforderlichen Berechtigungen direkt mit der SAP HANA-Datenbank arbeitet. Normalerweise werden diese Benutzer nicht aus der Datenbank gelöscht.

    Diese Benutzer werden für eine Verwaltungsaufgabe wie das Erstellen eines Objekts und das Gewähren von Berechtigungen für ein Datenbankobjekt oder für die Anwendung erstellt.

    Das SAP HANA-Datenbanksystem bietet Folgendes:wing Benutzer standardmäßig als Standardbenutzer–

  • SYSTEM
  • SYS
  • _SYS_REPO
  1. Datenbank oder echter Benutzer: Jeder Benutzer, der mit der SAP HANA-Datenbank arbeiten möchte, benötigt einen Datenbankbenutzer. Datenbankbenutzer sind echte Personen, die mit SAP HANA arbeiten.

    Es gibt zwei Arten von Datenbankbenutzern:

User Type Beschreibung Rolle zugewiesen
Standardbenutzer Dieser Benutzer kann Objekte in einem eigenen Schema erstellen und Daten in Systemansichten lesen. Standardbenutzer, der mit der Anweisung „CREATE USER“ erstellt wurde. Für lesende Systemansichten wird die Rolle PUBLIC zugewiesen.
Eingeschränkter Benutzer Der eingeschränkte Benutzer hat über eine SQL-Konsole keinen vollständigen SQL-Zugriff und wird mit der Anweisung „CREATE RESTRICTED USER“ erstellt. Wenn für die Nutzung einer Anwendung Berechtigungen erforderlich sind, werden diese über die Rolle bereitgestellt.

  • Eingeschränkter Benutzer kann keine Datenbankobjekte erstellen.
  • Eingeschränkter Benutzer kann keine Daten in der Datenbank anzeigen.
  • Eingeschränkter Benutzer stellt nur über HTTP eine Verbindung zur Datenbank her.
  • Der ODBC/JDBC-Zugriff für die Clientverbindung muss mit einer SQL-Anweisung aktiviert werden.
Für den vollständigen Zugriff auf die ODBC/JDBC-Funktionalität ist die Rolle RESTRICTED_USER_ODBC_ACCESS oder RESTRICTED_USER_JDBC_ACCESS für den Benutzer erforderlich

SAP HANA-Benutzeradministratoren haben Zugriff auf Folgendeswing Tätigkeit –

  1. Benutzer erstellen/löschen.
  2. Rolle definieren und erstellen.
  3. Weisen Sie dem Benutzer eine Rolle zu.
  4. Benutzerpasswort zurücksetzen.
  5. Benutzer je nach Bedarf wieder aktivieren/deaktivieren.

1. Benutzer in SAP HANA anlegen- Nur Datenbankbenutzer mit ROLE ADMIN-Berechtigungen können Benutzer und Rollen in SAP HANA erstellen.

Schritt 1) Um einen neuen Benutzer in SAP HANA Studio zu erstellen, gehen Sie wie unten gezeigt zur Registerkarte „Sicherheit“ und befolgen Sie die folgenden Schrittewing Schritte;

  1. Gehen Sie zum Sicherheitsknoten.
  2. Wählen Sie Benutzer (Rechtsklick) -> Neuer Benutzer.

Benutzer in SAP HANA anlegen

Schritt 2) Ein Bildschirm zur Benutzererstellung wird angezeigt.

  1. Geben Sie den Benutzernamen ein.
  2. Geben Sie das Passwort für den Benutzer ein.
  3. Dabei handelt es sich um Authentifizierungsmechanismen. Standardmäßig wird zur Authentifizierung Benutzername/Passwort verwendet.

Benutzer in SAP HANA anlegen

Durch Klicken auf „Bereitstellen“.Benutzer in SAP HANA anlegenSchaltflächenbenutzer wird erstellt.

2. Rolle definieren und erstellen

Eine Rolle ist eine Sammlung von Berechtigungen, die anderen Benutzern oder Rollen gewährt werden können. Die Rolle umfasst Berechtigungen für Datenbankobjekte und -anwendungen und hängt von der Art des Auftrags ab.

Es handelt sich um einen Standardmechanismus zur Gewährung von Privilegien. Berechtigungen können dem Benutzer direkt gewährt werden. In der SAP HANA-Datenbank sind viele Standardrollen (z. B. MODELLIERUNG, ÜBERWACHUNG usw.) verfügbar.

Wir können die Standardrolle als Vorlage für die Erstellung einer benutzerdefinierten Rolle verwenden.

Eine Rolle kann Folgendes enthaltenwing Privilegien –

  • Systemrechte für Verwaltungs- und Entwicklungsaufgaben (KATALOGLESEN, AUDIT-ADMIN usw.)
  • Objektrechte für Datenbankobjekte (SELECT, INSERT, DELETE usw.)
  • Analyserechte für die SAP HANA-Informationsansicht
  • Paketberechtigungen für Repository-Pakete (REPO.READ, REPO.EDIT_NATIVE_OBJECTS usw.)
  • Anwendungsberechtigungen für SAP HANA XS-Anwendungen.
  • Berechtigungen für den Benutzer (zum Debuggen der Prozedur).

Rollenerstellung

Schritt 1) In diesem Schritt

  1. Gehen Sie zum Knoten „Sicherheit“ im SAP HANA-System.
  2. Wählen Sie den Rollenknoten aus (Rechtsklick) und wählen Sie Neue Rolle.

Rollenerstellung in SAP HANA

Schritt 2) Ein Bildschirm zur Rollenerstellung wird angezeigtyed.

Rollenerstellung in SAP HANA

  1. Geben Sie unter „Neuer Rollenblock“ einen Rollennamen ein.
  2. Wählen Sie die Registerkarte „Gewährte Rolle“ und klicken Sie auf das „+“-Symbol, um eine Standardrolle hinzuzufügen oder die Rolle zu verlassen.
  3. Wählen Sie die gewünschte Rolle (z. B. MODELLIERUNG, ÜBERWACHUNG usw.)

Schritt 3) In diesem Schritt

  1. Die ausgewählte Rolle wird zur Registerkarte „Gewährte Rollen“ hinzugefügt.
  2. Berechtigungen können dem Benutzer direkt zugewiesen werden, indem Systemprivilegien, Objektprivilegien, Analyseprivilegien, Paketprivilegien usw. ausgewählt werden.
  3. Klicken Sie auf das Bereitstellungssymbol, um eine Rolle zu erstellen.

Rollenerstellung in SAP HANA

Aktivieren Sie die Option „An andere Benutzer und Rollen gewähren“, wenn Sie diese Rolle anderen Benutzern und Rollen zuweisen möchten.

3. Weisen Sie dem Benutzer eine Rolle zu

Schritt 1) In diesem Schritt weisen wir die Rolle „MODELLING_VIEW“ einem anderen Benutzer „ABHI_TEST“ zu.

  1. Gehen Sie zum Unterknoten „Benutzer“ unter dem Knoten „Sicherheit“ und double Klick es. Das Benutzerfenster wird angezeigt.
  2. Klicken Sie auf das Symbol „+“ für „Zugeteilte Rollen“.
  3. Es erscheint ein Popup mit dem Namen der Suchrolle, der dem Benutzer zugewiesen wird.

Gewähren Sie dem Benutzer in SAP HANA eine Rolle

Schritt 2) In diesem Schritt wird unter Rolle die Rolle „MODELLING_VIEW“ hinzugefügt.

Gewähren Sie dem Benutzer in SAP HANA eine Rolle

Schritt 3) In diesem Schritt

  1. Klicken Sie auf die Schaltfläche „Bereitstellen“.
  2. Es wird die Meldung „Benutzer „ABHI_TEST“ geändert“ angezeigtyed.

Gewähren Sie dem Benutzer eine Rolle

4. Zurücksetzen des Benutzerpassworts

Wenn das Benutzerkennwort zurückgesetzt werden muss, gehen Sie zum Unterknoten „Benutzer“ unter dem Knoten „Sicherheit“ und double Klick es. Das Benutzerfenster wird angezeigt.

Schritt 1) In diesem Schritt

  1. Neues Passwort eingeben.
  2. Geben Sie das Kennwort bestätigen ein.

Benutzerpasswort zurücksetzen

Schritt 2) In diesem Schritt

  1. Klicken Sie auf die Schaltfläche „Bereitstellen“.
  2. Es wird die Meldung „Benutzer 'ABHI_TEST“ geändert angezeigtyed.

Zurücksetzen des Benutzerkennworts in SAP HANA

5. Benutzer erneut aktivieren/deaktivieren

Gehen Sie zum Unterknoten „Benutzer“ unter dem Knoten „Sicherheit“ und double Klick es. Das Benutzerfenster wird angezeigt.

Es gibt ein Symbol zum Deaktivieren des Benutzers. Klick es an

Benutzer in SAP HANA erneut aktivieren/deaktivieren

Es erscheint eine Bestätigungsmeldung „Popup“. Klicken Sie auf die Schaltfläche „Ja“.

Benutzer in SAP HANA erneut aktivieren/deaktivieren

Es erscheint die Meldung „Benutzer ‚ABHI_TEST‘ deaktiviert“.yed. Das Deaktivierungssymbol ändert sich mit dem Namen „Benutzer aktivieren“. Jetzt können wir den Benutzer über dasselbe Symbol aktivieren.

SAP HANA-Lizenzmanagement

Der Lizenzschlüssel ist für die Nutzung der SAP HANA-Datenbank erforderlich. Ein Lizenzschlüssel kann mit SAP HANA Studio, dem SAP HANA HDBSQL-Befehlszeilentool und dem HANA SQL-Abfrageeditor installiert und gelöscht werden.

Die SAP HANA-Datenbank unterstützt zwei Arten von Lizenzschlüsseln –

  • Permanenter Lizenzschlüssel: Permanente Lizenzschlüssel sind bis zum Ablaufdatum gültig. Wir müssen den Lizenzschlüssel vor Ablauf anfordern und anwenden. Wenn der Lizenzschlüssel abläuft, wird der temporäre Lizenzschlüssel automatisch für 28 Tage installiert.
  • Temporärer Lizenzschlüssel: Dies wird bei einer neuen SAP HANA-Datenbankinstallation automatisch installiert. Es ist 90 Tage gültig und later können einen Permanentschlüssel bei SAP beantragen.

Autorisierung des Lizenzmanagements

„LIZENZADMIN“ Für die Lizenzverwaltung sind Berechtigungen erforderlich.

SAP HANA-Prüfung

Mit den SAP HANA-Überwachungsfunktionen können Sie Aktionen überwachen und aufzeichnen, die im SAP HANA-System ausgeführt werden. Diese Funktionen sollten für das System aktiviert werden, bevor eine Überwachungsrichtlinie erstellt wird.

Berechtigung für SAP HANA Auditing

„PRÜFUNGSADMIN“Für SAP HANA Auditing erforderliche Systemberechtigungen.

Zusammenfassung

In diesem Tutorial haben wir Folgendes gelerntwing Thema -

  • Übersicht über die SAP HANA-Sicherheit.
  • SAP HANA-Authentifizierung im Detail.
  • SAP HANA-Autorisierung im Detail.
  • SAP HANA-Benutzerverwaltungsmethode.
  • Methode der SAP-HANA-Rollenverwaltung
  • SAP HANA-Lizenzverwaltungsprozess.
  • SAP HANA-Rollenprüfungsprozess.