SAP Seguridad de HANA: tutorial completo

Por: Albaรฑil garcia Albaรฑil garcia
Hours Actualizado

ยฟQuรฉ es la seguridad de Sap Hana?

SAP HANA Security protege los datos importantes del acceso no autorizado y garantiza que los estรกndares y el cumplimiento cumplan con el estรกndar de seguridad adoptado por la empresa.

SAP HANA proporciona una funciรณn, es decir, una base de datos multiinquilino, en la que se pueden crear mรบltiples bases de datos en una sola SAP Sistema HANA. Se le conoce como contenedor de base de datos multiinquilino. Entonces SAP HANA proporciona todas las funciones relacionadas con la seguridad para todos los contenedores de bases de datos multiinquilino.

SAP HANA Proporcionar la siguiente funciรณn relacionada con la seguridad:

  • Gestiรณn de usuarios y roles
  • Autorizaciรณn
  • Autenticaciรณn
  • Cifrado de datos en la capa de persistencia
  • Cifrado de datos en la capa de red

SAP Usuario y rol de HANA

SAP La configuraciรณn de la gestiรณn de usuarios y roles de HANA depende de la arquitectura como se muestra a continuaciรณn:

  1. 3-Tier Architectura.

    SAP HANA se puede utilizar como una base de datos relacional en un nivel de 3 Architectura.

    En esta arquitectura, las caracterรญsticas de seguridad (autorizaciรณn, autenticaciรณn, cifrado y auditorรญa) se instalan en las capas del servidor de aplicaciones.

    SAP La aplicaciรณn (ERP, BW, etc.) se conecta a la base de datos solo con la ayuda de un usuario tรฉcnico o administrador de la base de datos (Basis Person). El usuario final no puede acceder directamente a la base de datos o al servidor de la base de datos.

SAP HANA 3 niveles Architectura

  1. 2-Tier Architectura.

    SAP Servicios de aplicaciones extendidas de HANA (SAP Hana XS) se basa en 2 โ€“Nivel ArchiTecnologรญa, en la que el servidor de aplicaciones, el servidor web y el entorno de desarrollo estรกn integrados en un solo sistema.

SAP HANA 2 niveles Architectura

SAP Autenticaciรณn HANA

El usuario de la base de datos identifica quiรฉn accede a la SAP Base de datos HANA. Se verifica mediante un proceso denominado โ€œAutenticaciรณnโ€. SAP HANA admite muchos mรฉtodos de autenticaciรณn. El inicio de sesiรณn รบnico (SSO) se utiliza para integrar varios mรฉtodos de autenticaciรณn.

SAP HANA admite el siguiente mรฉtodo de autenticaciรณn:

  • Kerberos: Se puede utilizar en los siguientes casos:
  • Directamente desde JDBC y Cliente ODBC (SAP Estudio Hana).

  • Cuando se utiliza HTTP para acceder SAP HANA XS.

  • Usuario Contraseรฑa Cuando el usuario ingresa su nombre de usuario y contraseรฑa de la base de datos, entonces SAP La base de datos HANA autentica al usuario.

  • Lenguaje de marcado de afirmaciรณn de seguridad (SAML)

    SAML se puede utilizar para autenticar SAP Usuario de HANA, que estรก accediendo SAP Base de datos HANA directamente a travรฉs de ODBC/JDBC. Es un proceso de mapeo.ping Identidad de usuario externo para el usuario de la base de datos interna, de modo que el usuario pueda iniciar sesiรณn en la base de datos SAP con el ID de usuario externo.

  • SAP Tickets de inicio de sesiรณn y aserciรณn

    El usuario puede autenticarse mediante Tickets de inicio de sesiรณn o de aserciรณn, que se configuran y emiten al usuario para crear un ticket.

  • Certificados de clientes X.509

    Al SAP Acceso a HANA XS mediante HTTP. Se pueden utilizar certificados de cliente firmados por una autoridad de certificaciรณn (CA) confiable para autenticar al usuario.

SAP Autorizaciรณn HANA

SAP Se requiere autorizaciรณn de HANA cuando un usuario utiliza la interfaz de cliente (JDBC, ODBC o HTTP) para acceder al SAP Base de datos HANA.

Segรบn la autorizaciรณn que se le proporcione al usuario, este podrรก realizar operaciones de base de datos en el objeto de base de datos. Esta autorizaciรณn se denomina โ€œprivilegiosโ€.

Los Privilegios se pueden otorgar al usuario directa o indirectamente (a travรฉs de roles). Todos los Privilegios asignados a los usuarios se combinan como una sola unidad.

Cuando un usuario intenta acceder a cualquier SAP Objeto de base de datos HANA, el sistema HANA realiza una verificaciรณn de autorizaciรณn del usuario a travรฉs de roles de usuario y otorga directamente los privilegios.

Cuando se encuentran los privilegios solicitados, el sistema HANA omite comprobaciones adicionales y otorga acceso para solicitar objetos de la base de datos.

In SAP Los siguientes privilegios de HANA son los siguientes:

Tipos de privilegios Descripciรณn
Privilegios del sistema Controla la actividad normal del sistema. Los privilegios del sistema se utilizan principalmente para:

  • Crear y eliminar esquemas en SAP Base de datos HANA
  • Gestiรณn de usuarios y roles en SAP Base de datos HANA
  • Monitoreando y tracing de SAP base de datos HANA
  • Realizar copias de seguridad de datos
  • Gestiรณn de licencia
  • Administrando la versiรณn
  • Gestiรณn de auditorรญa
  • Importar y exportar contenido
  • Mantenimiento de unidades de entrega
Privilegios de objetos Los privilegios de objetos son SQL privilegios que se utilizan para otorgar autorizaciรณn para leer y modificar objetos de la base de datos. Para acceder a los objetos de la base de datos, el usuario necesita privilegios de objeto sobre los objetos de la base de datos o sobre el esquema en el que existe el objeto de la base de datos. Se pueden otorgar privilegios de objeto a objetos del catรกlogo (tabla, vista, etc.) o a objetos que no pertenecen al catรกlogo (objetos de desarrollo).
Los privilegios de objetos son los siguientes:

  • CREAR CUALQUIER
  • ACTUALIZAR, INSERTAR, SELECCIONAR, BORRAR, SOLTAR, ALTERAR, EJECUTAR
  • รNDICE, DISPARADOR, DEPURACIร“N, REFERENCIAS
Privilegios analรญticos Los privilegios analรญticos se utilizan para permitir el acceso de lectura a los datos de SAP Modelo de informaciรณn HANA (vista de atributos, vista analรญtica, vista de cรกlculo).

  • Este privilegio se evalรบa durante el procesamiento de consultas.
  • Analytic Privileges otorga diferentes accesos de usuario a diferentes partes de los datos en el
  • Misma vista de informaciรณn segรบn el rol del usuario.
  • Los privilegios analรญticos se utilizan en SAP Base de datos HANA para proporcionar datos a nivel de fila

El control para que los usuarios individuales vean los datos estรก en la misma vista.
Privilegios del paquete Los privilegios de paquete se utilizan para proporcionar autorizaciรณn para acciones en paquetes individuales en SAP Repositorio HANA.
Privilegios de aplicaciรณn Se requieren privilegios de aplicaciรณn en In SAP Servicios de aplicaciones extendidas de HANA (SAP HANA XS) para la aplicaciรณn de acceso.

Los privilegios de la aplicaciรณn se otorgan y revocan mediante los procedimientosGRANT_APPLICATION_PRIVILEGE y REVOKE_APPLICATION_PRIVILEGE en el esquema _SYS_REPO.
Privilegios del usuario Se trata de privilegios SQL, que puede otorgar el usuario a su propio usuario. ATTACH DEBUGGER es el รบnico privilegio que se puede otorgar a un usuario.

ARTรCULOS RELACIONADOS

SAP Administraciรณn de usuarios y gestiรณn de roles de HANA

Acceder SAP Base de datos HANA, se requieren usuarios. Dependiendo de las diferentes polรญticas de seguridad, existen dos tipos de usuarios en SAP HANA como se muestra a continuaciรณn:

  1. Usuario tรฉcnico (usuario DBA) โ€“ Es un usuario que trabaja directamente con SAP Base de datos HANA con los privilegios necesarios. Normalmente, estos usuarios no se eliminan de la base de datos.

    Estos usuarios se crean para una tarea administrativa, como crear un objeto y otorgar privilegios sobre un objeto de base de datos o sobre la aplicaciรณn.

    SAP El sistema de base de datos HANA proporciona el siguiente usuario de forma predeterminada como usuario estรกndar:

  • LITE PARA TECHOS PLANOS
  • SYS
  • _SYS_REPO

  1. Base de Datos o Usuario Real: Cada usuario que quiera trabajar en SAP Base de datos HANA, necesita un usuario de base de datos. El usuario de la base de datos es una persona real que trabaja en SAP HANA.

    Hay dos tipos de usuarios de bases de datos como se muestra a continuaciรณn:

Tipo de usuario Descripciรณn Rol asignado
Usuario estรกndar Este usuario puede crear objetos en un esquema propio y leer datos en las vistas del sistema. Usuario estรกndar creado con la declaraciรณn "CREAR USUARIO". Se asigna el rol PรšBLICO para leer las vistas del sistema.
Usuario restringido El usuario restringido no tiene acceso completo a SQL a travรฉs de una consola SQL y se crea con la declaraciรณn "CREAR USUARIO RESTRINGIDO". Si se requieren privilegios para el uso de cualquier aplicaciรณn, se proporcionan a travรฉs del rol.

  • El usuario restringido no puede crear objetos de base de datos.
  • El usuario restringido no puede ver datos en la base de datos.
  • El usuario restringido se conecta a la base de datos solo a travรฉs de HTTP.
  • El acceso ODBC/JDBC para la conexiรณn del cliente debe habilitarse con una declaraciรณn SQL.
 Se requiere el rol RESTRICTED_USER_ODBC_ACCESS o RESTRICTED_USER_JDBC_ACCESS para que el usuario tenga acceso completo a la funcionalidad ODBC/JDBC

SAP El administrador de usuarios de HANA tiene acceso a la siguiente actividad:

  1. Crear/eliminar usuario.
  2. Definir y crear rol.
  3. Otorgar rol al usuario.
  4. Restablecer la contraseรฑa del usuario.
  5. Reactivar/desactivar usuario segรบn requerimiento.

1. Crear usuario en SAP HANA- Sรณlo el usuario de la base de datos con privilegios ROLE ADMIN puede crear un usuario y un rol en SAP HANA.

Paso 1) Para crear un nuevo usuario en SAP HANA Studio vaya a la pestaรฑa de seguridad como se muestra a continuaciรณn y siga los siguientes pasos;

  1. Vaya al nodo de seguridad.
  2. Seleccione Usuarios (clic derecho) -> Nuevo usuario.

Crear usuario en SAP HANA

Paso 2) Aparece una pantalla de creaciรณn de usuario.

  1. Introduzca su nombre de usuario.
  2. Ingrese la contraseรฑa para el usuario.
  3. Estos son mecanismos de autenticaciรณn; de forma predeterminada, se utiliza el nombre de usuario/contraseรฑa para la autenticaciรณn.

Crear usuario en SAP HANA

Al hacer clic en implementarCrear usuario en SAP HANASe crearรก el usuario del botรณn.

2. Definir y crear rol

Un rol es una colecciรณn de privilegios que se pueden otorgar a otros usuarios o roles. El rol incluye privilegios para objetos y aplicaciones de bases de datos y dependiendo de la naturaleza del trabajo.

Es un mecanismo estรกndar para otorgar privilegios. Los privilegios se pueden otorgar directamente al usuario. Hay muchos roles estรกndar (por ejemplo, MODELADO, MONITOREO, etc.) disponibles en SAP Base de datos HANA.

Podemos utilizar el rol estรกndar como plantilla para crear un rol personalizado.

Un rol puede contener los siguientes privilegios:

  • Privilegios del sistema para tareas administrativas y de desarrollo (LECTURA DE CATรLOGO, ADMINISTRACIร“N DE AUDITORรA, etc.)
  • Privilegios de objetos para objetos de bases de datos (SELECCIONAR, INSERTAR, ELIMINAR, etc.)
  • Privilegios analรญticos para SAP Vista de informaciรณn de HANA
  • Privilegios de paquetes en paquetes de repositorio (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
  • Privilegios de solicitud para SAP Aplicaciones HANA XS.
  • Privilegios sobre el usuario (Para depuraciรณn del procedimiento).

Creaciรณn de roles

Paso 1) En este paso,

  1. Vaya al nodo Seguridad en SAP Sistema HANA.
  2. Seleccione Nodo de rol (clic derecho) y seleccione Nuevo rol.

Creaciรณn de roles en SAP HANA

Paso 2) Se muestra una pantalla de creaciรณn de roles.

Creaciรณn de roles en SAP HANA

  1. Proporcione el nombre del rol en Nuevo bloque de rol.
  2. Seleccione la pestaรฑa Rol concedido y haga clic en el รญcono โ€œ+โ€ para agregar un rol estรกndar o un rol saliente.
  3. Seleccione el rol deseado (por ejemplo, MODELADO, MONITOREO, etc.)

Paso 3) En este paso,

  1. El rol seleccionado se agrega en la pestaรฑa Roles otorgados.
  2. Los privilegios se pueden asignar al usuario directamente seleccionando Privilegios del sistema, Privilegios de objetos, Privilegios analรญticos, Privilegios de paquetes, etc.
  3. Haga clic en el icono de implementaciรณn para crear un rol.

Creaciรณn de roles en SAP HANA

Marque la opciรณn "Otorgable a otros usuarios y roles", si desea asignar este rol a otro usuario y rol.

3. Otorgar rol al usuario

Paso 1) En este paso, asignaremos el rol "MODELLING_VIEW" a otro usuario "ABHI_TEST".

  1. Vaya al subnodo Usuario en el nodo Seguridad y haga doble clic en รฉl. Se mostrarรก la ventana Usuario.
  2. Haga clic en el รญcono Roles otorgados โ€œ+โ€.
  3. Aparecerรก una ventana emergente, Nombre del rol de bรบsqueda que se asignarรก al usuario.

Otorgar rol al usuario en SAP HANA

Paso 2) En este paso, se agregarรก el rol "MODELLING_VIEW" en Rol.

Otorgar rol al usuario en SAP HANA

Paso 3) En este paso,

  1. Haga clic en el botรณn Implementar.
  2. Se muestra el mensaje โ€œEl usuario 'ABHI_TESTโ€ ha cambiadoโ€.

Otorgar rol al usuario

4. Restablecer la contraseรฑa del usuario

Si es necesario restablecer la contraseรฑa del usuario, vaya al subnodo Usuario en el nodo Seguridad y haga doble clic en รฉl. Se mostrarรก la ventana Usuario.

Paso 1) En este paso,

  1. Ingrese nueva clave.
  2. Ingrese Confirmar contraseรฑa.

Restablecer la contraseรฑa del usuario

Paso 2) En este paso,

  1. Haga clic en el botรณn Implementar.
  2. Se muestra el mensaje โ€œEl usuario 'ABHI_TEST' ha cambiadoโ€.

Restablecer la contraseรฑa del usuario en SAP HANA

5. Reactivar/Desactivar Usuario

Vaya al subnodo Usuario en el nodo Seguridad y haga doble clic en รฉl. Se mostrarรก la ventana Usuario.

Hay un icono de Desactivar usuario. Haz click en eso

Reactivar/Desactivar Usuario en SAP HANA

Aparecerรก un mensaje de confirmaciรณn โ€œPopupโ€. Haga clic en el botรณn "Sรญ".

Reactivar/Desactivar Usuario en SAP HANA

Se mostrarรก el mensaje โ€œUsuario 'ABHI_TEST' desactivadoโ€. El icono de Desactivar cambia al nombre โ€œActivar usuarioโ€. Ahora podemos activar el usuario desde el mismo icono.

SAP Gestiรณn de licencias HANA

Se requiere la clave de licencia para usar SAP Base de datos HANA. Se puede instalar y eliminar una clave de licencia usando SAP estudio hana, SAP Herramienta de lรญnea de comandos HANA HDBSQL y editor de consultas HANA SQL.

SAP La base de datos HANA admite dos tipos de claves de licencia:

  • Clave de licencia permanente: Las claves de licencia permanentes son vรกlidas hasta la fecha de vencimiento. Necesitamos solicitar y aplicar la clave de licencia antes de que caduque. Si la clave de licencia caduca, la clave de licencia temporal se instala automรกticamente durante 28 dรญas.
  • Clave de licencia temporal: Esto se instala automรกticamente con un nuevo SAP Instalaciรณn de la base de datos HANA. Tiene una validez de 90 dรญas y despuรฉs se puede solicitar una clave permanente desde SAP.

Autorizaciรณn de Gestiรณn de Licencias

โ€œADMINISTRADOR DE LICENCIAโ€ Se requieren privilegios para la gestiรณn de licencias.

SAP Auditorรญa HANA

SAP Las funciones de auditorรญa de HANA le permiten monitorear y registrar las acciones que se realizan en SAP Sistema HANA. Estas funciones deben activarse para el sistema antes de crear una polรญtica de auditorรญa.

Autorizaciรณn para SAP Auditorรญa HANA

โ€œADMINISTRADOR DE AUDITORรAโ€Privilegios del sistema necesarios para SAP Auditorรญa HANA.

Resumen

En este tutorial, hemos aprendido el siguiente tema:

  • SAP Descripciรณn general de la seguridad de HANA.
  • SAP Autenticaciรณn HANA en detalle.
  • SAP Autorizaciรณn de HANA en detalle.
  • SAP Mรฉtodo de administraciรณn de usuarios de HANA.
  • SAP Mรฉtodo de administraciรณn de roles de HANA
  • SAP Proceso de gestiรณn de licencias HANA.
  • SAP Proceso de auditorรญa de roles de HANA.

Resumir este post con: