SAP Seguridad de HANA: tutorial completo

Por: Albañil garcia Albañil garcia
Hours Actualizado

¿Qué es la seguridad de Sap Hana?

SAP HANA Security protege los datos importantes del acceso no autorizado y garantiza que los estándares y el cumplimiento cumplan con el estándar de seguridad adoptado por la empresa.

SAP HANA proporciona una función, es decir, una base de datos multiinquilino, en la que se pueden crear múltiples bases de datos en una sola SAP Sistema HANA. Se le conoce como contenedor de base de datos multiinquilino. Entonces SAP HANA proporciona todas las funciones relacionadas con la seguridad para todos los contenedores de bases de datos multiinquilino.

SAP HANA Proporcionar la siguiente función relacionada con la seguridad:

  • Gestión de usuarios y roles
  • Autorización
  • Autenticación
  • Cifrado de datos en la capa de persistencia
  • Cifrado de datos en la capa de red

SAP Usuario y rol de HANA

SAP La configuración de la gestión de usuarios y roles de HANA depende de la arquitectura como se muestra a continuación:

  1. 3-Tier Architectura.

    SAP HANA se puede utilizar como una base de datos relacional en un nivel de 3 Architectura.

    En esta arquitectura, las características de seguridad (autorización, autenticación, cifrado y auditoría) se instalan en las capas del servidor de aplicaciones.

    SAP La aplicación (ERP, BW, etc.) se conecta a la base de datos solo con la ayuda de un usuario técnico o administrador de la base de datos (Basis Person). El usuario final no puede acceder directamente a la base de datos o al servidor de la base de datos.

SAP HANA 3 niveles Architectura

  1. 2-Tier Architectura.

    SAP Servicios de aplicaciones extendidas de HANA (SAP Hana XS) se basa en 2 –Nivel ArchiTecnología, en la que el servidor de aplicaciones, el servidor web y el entorno de desarrollo están integrados en un solo sistema.

SAP HANA 2 niveles Architectura

SAP Autenticación HANA

El usuario de la base de datos identifica quién accede a la SAP Base de datos HANA. Se verifica mediante un proceso denominado “Autenticación”. SAP HANA admite muchos métodos de autenticación. El inicio de sesión único (SSO) se utiliza para integrar varios métodos de autenticación.

SAP HANA admite el siguiente método de autenticación:

  • Kerberos: Se puede utilizar en los siguientes casos:
  • Directamente desde JDBC y Cliente ODBC (SAP Estudio Hana).

  • Cuando se utiliza HTTP para acceder SAP HANA XS.

  • Usuario Contraseña Cuando el usuario ingresa su nombre de usuario y contraseña de la base de datos, entonces SAP La base de datos HANA autentica al usuario.

  • Lenguaje de marcado de afirmación de seguridad (SAML)

    SAML se puede utilizar para autenticar SAP Usuario de HANA, que está accediendo SAP Base de datos HANA directamente a través de ODBC/JDBC. Es un proceso de mapeo de la identidad del usuario externo al usuario de la base de datos interna, de modo que el usuario pueda iniciar sesión en la base de datos SAP con la identificación del usuario externo.

  • SAP Tickets de inicio de sesión y aserción

    El usuario puede autenticarse mediante Tickets de inicio de sesión o de aserción, que se configuran y emiten al usuario para crear un ticket.

  • Certificados de clientes X.509

    Cuándo SAP Acceso a HANA XS mediante HTTP. Se pueden utilizar certificados de cliente firmados por una autoridad de certificación (CA) confiable para autenticar al usuario.

SAP Autorización HANA

SAP Se requiere autorización de HANA cuando un usuario utiliza la interfaz de cliente (JDBC, ODBC o HTTP) para acceder al SAP Base de datos HANA.

Según la autorización que se le proporcione al usuario, este podrá realizar operaciones de base de datos en el objeto de base de datos. Esta autorización se denomina “privilegios”.

Los Privilegios se pueden otorgar al usuario directa o indirectamente (a través de roles). Todos los Privilegios asignados a los usuarios se combinan como una sola unidad.

Cuando un usuario intenta acceder a cualquier SAP Objeto de base de datos HANA, el sistema HANA realiza una verificación de autorización del usuario a través de roles de usuario y otorga directamente los privilegios.

Cuando se encuentran los privilegios solicitados, el sistema HANA omite comprobaciones adicionales y otorga acceso para solicitar objetos de la base de datos.

In SAP Los siguientes privilegios de HANA son los siguientes:

Tipos de privilegios Descripción original
Privilegios del sistema Controla la actividad normal del sistema. Los privilegios del sistema se utilizan principalmente para:

  • Crear y eliminar esquemas en SAP Base de datos HANA
  • Gestión de usuarios y roles en SAP Base de datos HANA
  • Seguimiento y seguimiento de SAP base de datos HANA
  • Realizar copias de seguridad de datos
  • Gestión de licencia
  • Administrando la versión
  • Gestión de auditoría
  • Importar y exportar contenido
  • Mantenimiento de unidades de entrega
Privilegios de objetos Los privilegios de objetos son SQL privilegios que se utilizan para otorgar autorización para leer y modificar objetos de la base de datos. Para acceder a los objetos de la base de datos, el usuario necesita privilegios de objeto sobre los objetos de la base de datos o sobre el esquema en el que existe el objeto de la base de datos. Se pueden otorgar privilegios de objeto a objetos del catálogo (tabla, vista, etc.) o a objetos que no pertenecen al catálogo (objetos de desarrollo).
Los privilegios de objetos son los siguientes:

  • CREAR CUALQUIER
  • ACTUALIZAR, INSERTAR, SELECCIONAR, BORRAR, SOLTAR, ALTERAR, EJECUTAR
  • ÍNDICE, DISPARADOR, DEPURACIÓN, REFERENCIAS
Privilegios analíticos Los privilegios analíticos se utilizan para permitir el acceso de lectura a los datos de SAP Modelo de información HANA (vista de atributos, vista analítica, vista de cálculo).

  • Este privilegio se evalúa durante el procesamiento de consultas.
  • Analytic Privileges otorga diferentes accesos de usuario a diferentes partes de los datos en el
  • Misma vista de información según el rol del usuario.
  • Los privilegios analíticos se utilizan en SAP Base de datos HANA para proporcionar datos a nivel de fila

El control para que los usuarios individuales vean los datos está en la misma vista.
Privilegios del paquete Los privilegios de paquete se utilizan para proporcionar autorización para acciones en paquetes individuales en SAP Repositorio HANA.
Privilegios de aplicación Se requieren privilegios de aplicación en In SAP Servicios de aplicaciones extendidas de HANA (SAP HANA XS) para la aplicación de acceso.

Los privilegios de la aplicación se otorgan y revocan mediante los procedimientosGRANT_APPLICATION_PRIVILEGE y REVOKE_APPLICATION_PRIVILEGE en el esquema _SYS_REPO.
Privilegios del usuario Se trata de privilegios SQL, que puede otorgar el usuario a su propio usuario. ATTACH DEBUGGER es el único privilegio que se puede otorgar a un usuario.

ARTÍCULOS RELACIONADOS

SAP Administración de usuarios y gestión de roles de HANA

Acceder SAP Base de datos HANA, se requieren usuarios. Dependiendo de las diferentes políticas de seguridad, existen dos tipos de usuarios en SAP HANA como se muestra a continuación:

  1. Usuario técnico (usuario DBA) – Es un usuario que trabaja directamente con SAP Base de datos HANA con los privilegios necesarios. Normalmente, estos usuarios no se eliminan de la base de datos.

    Estos usuarios se crean para una tarea administrativa, como crear un objeto y otorgar privilegios sobre un objeto de base de datos o sobre la aplicación.

    SAP El sistema de base de datos HANA proporciona el siguiente usuario de forma predeterminada como usuario estándar:

  • LITE PARA TECHOS PLANOS
  • SYS
  • _SYS_REPO

  1. Base de Datos o Usuario Real: Cada usuario que quiera trabajar en SAP Base de datos HANA, necesita un usuario de base de datos. El usuario de la base de datos es una persona real que trabaja en SAP HANA.

    Hay dos tipos de usuarios de bases de datos como se muestra a continuación:

Tipo de usuario Descripción original Rol asignado
Usuario estándar Este usuario puede crear objetos en un esquema propio y leer datos en las vistas del sistema. Usuario estándar creado con la declaración "CREAR USUARIO". Se asigna el rol PÚBLICO para leer las vistas del sistema.
Usuario restringido El usuario restringido no tiene acceso completo a SQL a través de una consola SQL y se crea con la declaración "CREAR USUARIO RESTRINGIDO". Si se requieren privilegios para el uso de cualquier aplicación, se proporcionan a través del rol.

  • El usuario restringido no puede crear objetos de base de datos.
  • El usuario restringido no puede ver datos en la base de datos.
  • El usuario restringido se conecta a la base de datos solo a través de HTTP.
  • El acceso ODBC/JDBC para la conexión del cliente debe habilitarse con una declaración SQL.
 Se requiere el rol RESTRICTED_USER_ODBC_ACCESS o RESTRICTED_USER_JDBC_ACCESS para que el usuario tenga acceso completo a la funcionalidad ODBC/JDBC

SAP El administrador de usuarios de HANA tiene acceso a la siguiente actividad:

  1. Crear/eliminar usuario.
  2. Definir y crear rol.
  3. Otorgar rol al usuario.
  4. Restablecer la contraseña del usuario.
  5. Reactivar/desactivar usuario según requerimiento.

1. Crear usuario en SAP HANA- Sólo el usuario de la base de datos con privilegios ROLE ADMIN puede crear un usuario y un rol en SAP HANA.

Paso 1) Para crear un nuevo usuario en SAP HANA Studio vaya a la pestaña de seguridad como se muestra a continuación y siga los siguientes pasos;

  1. Vaya al nodo de seguridad.
  2. Seleccione Usuarios (clic derecho) -> Nuevo usuario.

Crear usuario en SAP HANA

Paso 2) Aparece una pantalla de creación de usuario.

  1. Introduzca su nombre de usuario.
  2. Ingrese la contraseña para el usuario.
  3. Estos son mecanismos de autenticación; de forma predeterminada, se utiliza el nombre de usuario/contraseña para la autenticación.

Crear usuario en SAP HANA

Al hacer clic en implementarCrear usuario en SAP HANASe creará el usuario del botón.

2. Definir y crear rol

Un rol es una colección de privilegios que se pueden otorgar a otros usuarios o roles. El rol incluye privilegios para objetos y aplicaciones de bases de datos y dependiendo de la naturaleza del trabajo.

Es un mecanismo estándar para otorgar privilegios. Los privilegios se pueden otorgar directamente al usuario. Hay muchos roles estándar (por ejemplo, MODELADO, MONITOREO, etc.) disponibles en SAP Base de datos HANA.

Podemos utilizar el rol estándar como plantilla para crear un rol personalizado.

Un rol puede contener los siguientes privilegios:

  • Privilegios del sistema para tareas administrativas y de desarrollo (LECTURA DE CATÁLOGO, ADMINISTRACIÓN DE AUDITORÍA, etc.)
  • Privilegios de objetos para objetos de bases de datos (SELECCIONAR, INSERTAR, ELIMINAR, etc.)
  • Privilegios analíticos para SAP Vista de información de HANA
  • Privilegios de paquetes en paquetes de repositorio (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
  • Privilegios de solicitud para SAP Aplicaciones HANA XS.
  • Privilegios sobre el usuario (Para depuración del procedimiento).

Creación de roles

Paso 1) En este paso,

  1. Vaya al nodo Seguridad en SAP Sistema HANA.
  2. Seleccione Nodo de rol (clic derecho) y seleccione Nuevo rol.

Creación de roles en SAP HANA

Paso 2) Se muestra una pantalla de creación de roles.

Creación de roles en SAP HANA

  1. Proporcione el nombre del rol en Nuevo bloque de rol.
  2. Seleccione la pestaña Rol concedido y haga clic en el ícono “+” para agregar un rol estándar o un rol saliente.
  3. Seleccione el rol deseado (por ejemplo, MODELADO, MONITOREO, etc.)

Paso 3) En este paso,

  1. El rol seleccionado se agrega en la pestaña Roles otorgados.
  2. Los privilegios se pueden asignar al usuario directamente seleccionando Privilegios del sistema, Privilegios de objetos, Privilegios analíticos, Privilegios de paquetes, etc.
  3. Haga clic en el icono de implementación para crear un rol.

Creación de roles en SAP HANA

Marque la opción "Otorgable a otros usuarios y roles", si desea asignar este rol a otro usuario y rol.

3. Otorgar rol al usuario

Paso 1) En este paso, asignaremos el rol "MODELLING_VIEW" a otro usuario "ABHI_TEST".

  1. Vaya al subnodo Usuario en el nodo Seguridad y haga doble clic en él. Se mostrará la ventana Usuario.
  2. Haga clic en el ícono Roles otorgados “+”.
  3. Aparecerá una ventana emergente, Nombre del rol de búsqueda que se asignará al usuario.

Otorgar rol al usuario en SAP HANA

Paso 2) En este paso, se agregará el rol "MODELLING_VIEW" en Rol.

Otorgar rol al usuario en SAP HANA

Paso 3) En este paso,

  1. Haga clic en el botón Implementar.
  2. Se muestra el mensaje “El usuario 'ABHI_TEST” ha cambiado”.

Otorgar rol al usuario

4. Restablecer la contraseña del usuario

Si es necesario restablecer la contraseña del usuario, vaya al subnodo Usuario en el nodo Seguridad y haga doble clic en él. Se mostrará la ventana Usuario.

Paso 1) En este paso,

  1. Ingrese nueva clave.
  2. Ingrese Confirmar contraseña.

Restablecer la contraseña del usuario

Paso 2) En este paso,

  1. Haga clic en el botón Implementar.
  2. Se muestra el mensaje “El usuario 'ABHI_TEST' ha cambiado”.

Restablecer la contraseña del usuario en SAP HANA

5. Reactivar/Desactivar Usuario

Vaya al subnodo Usuario en el nodo Seguridad y haga doble clic en él. Se mostrará la ventana Usuario.

Hay un icono de Desactivar usuario. Haz click en eso

Reactivar/Desactivar Usuario en SAP HANA

Aparecerá un mensaje de confirmación “Popup”. Haga clic en el botón "Sí".

Reactivar/Desactivar Usuario en SAP HANA

Se mostrará el mensaje “Usuario 'ABHI_TEST' desactivado”. El icono de Desactivar cambia al nombre “Activar usuario”. Ahora podemos activar el usuario desde el mismo icono.

SAP Gestión de licencias HANA

Se requiere la clave de licencia para usar SAP Base de datos HANA. Se puede instalar y eliminar una clave de licencia usando SAP estudio hana, SAP Herramienta de línea de comandos HANA HDBSQL y editor de consultas HANA SQL.

SAP La base de datos HANA admite dos tipos de claves de licencia:

  • Clave de licencia permanente: Las claves de licencia permanentes son válidas hasta la fecha de vencimiento. Necesitamos solicitar y aplicar la clave de licencia antes de que caduque. Si la clave de licencia caduca, la clave de licencia temporal se instala automáticamente durante 28 días.
  • Clave de licencia temporal: Esto se instala automáticamente con un nuevo SAP Instalación de la base de datos HANA. Tiene una validez de 90 días y después se puede solicitar una clave permanente desde SAP.

Autorización de Gestión de Licencias

“ADMINISTRADOR DE LICENCIA” Se requieren privilegios para la gestión de licencias.

SAP Auditoría HANA

SAP Las funciones de auditoría de HANA le permiten monitorear y registrar las acciones que se realizan en SAP Sistema HANA. Estas funciones deben activarse para el sistema antes de crear una política de auditoría.

Autorización para SAP Auditoría HANA

“ADMINISTRADOR DE AUDITORÍA”Privilegios del sistema necesarios para SAP Auditoría HANA.

Resum

En este tutorial, hemos aprendido el siguiente tema:

  • SAP Descripción general de la seguridad de HANA.
  • SAP Autenticación HANA en detalle.
  • SAP Autorización de HANA en detalle.
  • SAP Método de administración de usuarios de HANA.
  • SAP Método de administración de roles de HANA
  • SAP Proceso de gestión de licencias HANA.
  • SAP Proceso de auditoría de roles de HANA.

Te podría gustar: