SAP HANA turvalisus: täielik õpetus

Mis on Sap Hana Security?

SAP HANA Security kaitseb olulisi andmeid volitamata juurdepääsu eest ning tagab, et standardid ja vastavus vastavad ettevõtte poolt vastuvõetud turvastandardile.

SAP HANA pakub võimalust, st mitme rentniku andmebaasi, milles saab luua mitu andmebaasi SAP HANA süsteem. Seda tuntakse mitme rentniku andmebaasi konteinerina. Niisiis SAP HANA pakub kõiki turvalisusega seotud funktsioone kõigi mitme rentniku andmebaasikonteinerite jaoks.

SAP HANNA Pakkuge järgmist turvalisusega seotud funktsiooni -

Kasutajate ja rollide haldamine
luba
Autentimine
Andmete krüpteerimine püsivuskihis
Andmete krüpteerimine võrgukihis

SAP HANA kasutaja ja roll

SAP HANA kasutaja ja rollihalduse konfiguratsioon sõltub arhitektuurist nagu allpool –

3-astmeline Architektuur.
SAP HANA-d saab kasutada relatsiooniandmebaasina 3-tasandilises andmebaasis Architektuur.

Selles arhitektuuris on turvafunktsioonid (volitamine, autentimine, krüptimine ja auditeerimine) installitud rakendusserveri kihtidele.

SAP rakendus (ERP, BW jne) ühendub andmebaasiga ainult tehnilise kasutaja või andmebaasi administraatori (Bas Person) abiga. Lõppkasutaja ei saa otse juurdepääsu andmebaasile või andmebaasiserverile.

2-astmeline Architektuur.
SAP HANA laiendatud rakendusteenused (SAP HANA XS) põhineb 2-tasemel Architektuur, milles rakenduseserver, veebiserver ja arenduskeskkond on manustatud ühte süsteemi.

SAP HANA autentimine

Andmebaasi kasutaja tuvastab, kes sellele juurde pääseb SAP HANA andmebaas. Seda kontrollitakse protsessi nimega "Autentimine". SAP HANA toetab paljusid autentimismeetodeid. Ühekordset sisselogimist (SSO) kasutatakse mitme autentimismeetodi integreerimiseks.

SAP HANA toetab järgmist autentimismeetodit -

Kerberos: Seda saab kasutada järgmistel juhtudel -
Otse JDBC-st ja ODBC-kliendist (SAP HANA stuudio).
Kui juurdepääsuks kasutatakse HTTP-d SAP HANA XS.
Kasutajanimi Parool Kui kasutaja sisestab oma andmebaasi kasutajanime ja parooli, siis SAP HANA andmebaas autentib kasutaja.
Turvalisuse kinnituskeel (SAML)
SAML saab autentimiseks kasutada SAP HANA kasutaja, kes pääseb juurde SAP HANA andmebaas otse ODBC/JDBC kaudu. See on protsess välise kasutaja identiteedi vastendamiseks sisemise andmebaasi kasutajaga, nii et kasutaja saab SAP-i andmebaasi sisse logida välise kasutaja ID-ga.
SAP Sisselogimise ja kinnitamise piletid
Kasutajat saab autentida sisselogimis- või kinnituspiletite abil, mis konfigureeritakse ja väljastatakse kasutajale pileti loomiseks.
X.509 klientide sertifikaadid
Kui SAP HANA XS Access by HTTP, kasutaja autentimiseks saab kasutada usaldusväärse sertifitseerimisasutuse (CA) allkirjastatud kliendisertifikaate.

SAP HANA autoriseerimine

SAP HANA autoriseerimine on vajalik, kui kasutaja kasutab kliendiliidest (JDBC, ODBC või HTTP) juurdepääsuks SAP HANA andmebaas.

Olenevalt kasutajale antud volitusest saab ta teha andmebaasiobjektiga andmebaasitoiminguid. Seda volitust nimetatakse "privileegideks".

Privileege saab anda kasutajale otse või kaudselt (rollide kaudu). Kõik kasutajatele määratud õigused on ühendatud üheks üksuseks.

Kui kasutaja proovib mõnele juurde pääseda SAP HANA andmebaasi objekt, HANA süsteem kontrollib kasutajat kasutajarollide kaudu ja annab otse õigused.

Kui nõutud õigused leitakse, jätab HANA süsteem edasised kontrollid vahele ja annab juurdepääsu andmebaasiobjektidele.

In SAP HANA järgmised privileegid on nende -

Privileegide tüübid	Kirjeldus
Süsteemi privileegid	See juhib süsteemi normaalset tegevust. Süsteemiõigusi kasutatakse peamiselt: Skeemi loomine ja kustutamine SAP HANA andmebaas Kasutaja ja rolli haldamine SAP HANA andmebaas Jälgimine ja jälgimine SAP HANA andmebaas Andmete varukoopiate tegemine Halduslitsents Haldamise versioon Auditi juhtimine Sisu importimine ja eksportimine Tarneüksuste säilitamine
Objekti privileegid	Objekti privileegid on SQL õigused, mida kasutatakse volituste andmiseks andmebaasiobjektide lugemiseks ja muutmiseks. Andmebaasiobjektidele juurdepääsuks vajab kasutaja objektiõigusi andmebaasiobjektidel või skeemil, milles andmebaasiobjekt eksisteerib. Objektiõigusi saab anda kataloogiobjektidele (tabel, vaade jne) või mittekataloogiobjektidele (arendusobjektid). Objekti privileegid on järgmised - LOO MIS TAHES VÄRSKENDAMINE, LISAMINE, VALIMINE, KUSTUTAMINE, KUKKUDA, MUUTAMINE, TÄITMINE INDEX, TRIGGER, SILUMINE, VIITED
Analüütilised õigused	Analüütilisi õigusi kasutatakse andmete lugemiseks juurdepääsu võimaldamiseks SAP HANA teabemudel (atribuutide vaade, analüütiline vaade, arvutusvaade). Seda õigust hinnatakse päringu töötlemise ajal. Analüütilised õigused annavad erinevatele kasutajatele juurdepääsu erinevatele andmete osadele Sama teabevaade, mis põhineb kasutaja rollil. Kasutatakse analüütilisi õigusi SAP HANA andmebaas reataseme andmete esitamiseks Üksikute kasutajate kontroll andmete nägemiseks on samas vaates.
Paketi privileegid	Paketi privileege kasutatakse üksikute pakettidega seotud toimingute volitamiseks SAP HANA hoidla.
Rakenduse privileegid	Rakenduse õigused on vajalikud In SAP HANA laiendatud rakendusteenused (SAP HANA XS) juurdepääsurakenduse jaoks. Rakenduse õigused antakse ja tühistatakse protseduurideGRANT_APPLICATION_PRIVILEGE ja REVOKE_APPLICATION_PRIVILEGE kaudu skeemis _SYS_REPO.
Kasutaja privileegid	See on SQL-i õigused, mida kasutaja saab anda oma kasutajale. ANNA SILUJA on ainus privileeg, mida kasutajale saab anda.

SAP HANA kasutajate haldus ja rollihaldus

Juurdepääs SAP HANA andmebaas, kasutajad on vajalikud. Olenevalt erinevatest turvapoliitikatest on sisse lülitatud kahte tüüpi kasutajaid SAP HANA nagu allpool -

Tehniline kasutaja (DBA kasutaja) – See on kasutaja, kes töötab otseselt SAP HANA andmebaas vajalike õigustega. Tavaliselt neid kasutajaid andmebaasist ei kustutata.

Need kasutajad luuakse haldusülesande jaoks, näiteks objekti loomiseks ja andmebaasiobjektile või rakendusele õiguste andmiseks.

SAP HANA andmebaasisüsteem pakub standardkasutajana vaikimisi järgmist kasutajat -

SYSTEM
Sys
_SYS_REPO

Andmebaas või päriskasutaja: Iga kasutaja, kes soovib töötada SAP HANA andmebaas, vajame andmebaasi kasutajat. Andmebaasi kasutaja on reaalne isik, kes töötab SAP HANA.

Allpool on kahte tüüpi andmebaasi kasutajaid –

Kasutaja tüüp	Kirjeldus	Roll määratud
Tavakasutaja	See kasutaja saab luua objekte oma skeemis ja lugeda andmeid süsteemivaadetes. Tavakasutaja loodud lausega "CREATE USER".	Süsteemivaadete lugemiseks on määratud AVALIK roll.
Piiratud kasutaja	Piiratud kasutajal puudub täielik SQL-juurdepääs SQL-konsooli kaudu ja see on loodud lausega „CREATE RESTRICTED USER”. Kui mõne rakenduse kasutamiseks on vaja õigusi, antakse need rolli kaudu. Piiratud kasutaja ei saa luua andmebaasiobjekte. Piiratud kasutaja ei saa andmebaasis olevaid andmeid vaadata. Piiratud kasutaja loob andmebaasiga ühenduse ainult HTTP kaudu. Kliendiühenduse ODBC/JDBC juurdepääs peab olema lubatud SQL-lausega.	Roll RESTRICTED_USER_ODBC_ACCESS või RESTRICTED_USER_JDBC_ACCESS, mis on kasutajale vajalik täielikuks juurdepääsuks ODBC/JDBC funktsioonidele

SAP HANA kasutaja administraatoril on juurdepääs järgmisele tegevusele -

Kasutaja loomine/kustutamine.
Määratle ja loo roll.
Andke kasutajale roll.
Kasutaja parooli lähtestamine.
Aktiveerige / deaktiveerige kasutaja vastavalt nõudele.

1. Looge kasutaja SAP HANA- Ainult ROLE ADMINi õigustega andmebaasi kasutaja saab luua kasutaja ja rolli SAP HANA.

Step 1) Uue kasutaja loomiseks SAP HANA Studio minge turvalisuse vahekaardile, nagu allpool näidatud, ja järgige järgmisi samme;

Minge turvasõlme.
Valige Kasutajad (paremklõps) -> Uus kasutaja.

Step 2) Ilmub kasutaja loomise ekraan.

Sisestage kasutajanimi.
Sisestage kasutaja parool.
Need on autentimismehhanismid, vaikimisi kasutatakse autentimiseks kasutajanime/parooli.

Klõpsates juurutamiselNupu kasutaja luuakse.

2. Määratlege ja looge roll

Roll on õiguste kogum, mida saab anda teistele kasutajatele või rollidele. See roll hõlmab andmebaasiobjekti ja -rakenduse õigusi ning olenevalt töö iseloomust.

See on tavapärane õiguste andmise mehhanism. Privileege saab anda otse kasutajale. Saadaval on palju standardrolle (nt MODELLEERIMINE, JÄLGIMINE jne). SAP HANA andmebaas.

Standardrolli saame kasutada mallina kohandatud rolli loomiseks.

Roll võib sisaldada järgmisi õigusi –

Süsteemiõigused haldus- ja arendustegevuse jaoks (KATALOOGI LUGEMINE, AUDITI ADMIN jne)
Andmebaasiobjektide objektiõigused (SELECT, INSERT, DELETE jne)
Analüütilised õigused SAP HANA teabevaade
Hoidlapakettide paketiõigused (REPO.READ, REPO.EDIT_NATIVE_OBJECTS jne)
Rakenduse privileegid SAP HANA XS rakendused.
Kasutaja privileegid (protseduuri silumiseks).

Rolli loomine

Step 1) Selles sammus

Minge jaotisse Turvasõlm SAP HANA süsteem.
Valige rollisõlm (paremklõps) ja valige Uus roll.

Step 2) Kuvatakse rolli loomise ekraan.

Andke uue rolliploki all rolli nimi.
Valige vahekaart Antud roll ja klõpsake standardrolli või lahkumisrolli lisamiseks ikooni +.
Valige soovitud roll (nt MODELLEERIMINE, JÄLGIMINE jne)

Step 3) Selles sammus

Valitud roll lisatakse vahekaardile Antud rollid.
Privileege saab määrata otse kasutajale, valides Süsteemiõigused, Objekti privileegid, Analüütilised privileegid, Paketiõigused jne.
Rolli loomiseks klõpsake juurutamise ikoonil.

Märkige valik "Andatav teistele kasutajatele ja rollidele", kui soovite määrata selle rolli teisele kasutajale ja rollile.

3. Andke kasutajale roll

Step 1) Selles etapis määrame rolli "MODELLING_VIEW" teisele kasutajale "ABHI_TEST".

Minge jaotises Turvasõlm jaotisesse Kasutaja alamsõlm ja topeltklõpsake seda. Kuvatakse kasutaja aken.
Klõpsake antud rollide "+" ikooni.
Ilmub hüpikaken, otsingurolli nimi, mis määratakse kasutajale.

Step 2) Selles etapis lisatakse rolli alla roll "MODELLING_VIEW".

Step 3) Selles sammus

Klõpsake juurutamise nuppu.
Kuvatakse teade "Kasutaja 'ABHI_TEST" muudetud.

4. Kasutaja parooli lähtestamine

Kui kasutaja parool tuleb lähtestada, minge jaotises Turvasõlm jaotisesse Kasutaja alamsõlm ja topeltklõpsake seda. Kuvatakse kasutaja aken.

Step 1) Selles sammus

Sisestage uus parool.
Sisestage Kinnita parool.

Step 2) Selles sammus

Klõpsake juurutamise nuppu.
Kuvatakse teade „Kasutaja ABHI_TEST” muudetud.

5. Kasutaja uuesti aktiveerimine/deaktiveerimine

Minge jaotises Turvasõlm jaotisesse Kasutaja alamsõlm ja topeltklõpsake seda. Kuvatakse kasutaja aken.

Seal on kasutaja desaktiveerimise ikoon. Klõpsake sellel

Ilmub kinnitusteade "Hüpik". Klõpsake nuppu "Jah".

Kuvatakse teade "Kasutaja 'ABHI_TEST' deaktiveeritud". Deaktiveerimise ikoon muutub nimega "Aktiveeri kasutaja". Nüüd saame kasutaja aktiveerida samalt ikoonilt.

SAP HANA litsentsihaldus

Kasutamiseks on vaja litsentsivõtit SAP HANA andmebaas. Litsentsivõtit saab installida ja kustutada kasutades SAP HANA stuudio, SAP HANA HDBSQL käsurea tööriist ja HANA SQL päringu redaktor.

SAP HANA andmebaas toetab kahte tüüpi litsentsivõtmeid -

Püsilitsentsi võti: Püsilitsentsi võtmed kehtivad kuni aegumiskuupäevani. Peame enne aegumist taotlema ja rakendama litsentsivõtit. Kui litsentsivõti aegub, installitakse ajutine litsentsivõti automaatselt 28 päevaks.
Ajutine litsentsivõti: See installitakse automaatselt koos uuega SAP HANA andmebaasi installimine. See kehtib 90 päeva ja hiljem saab Püsivõtit taotleda alates SAP.

Litsentsihalduse autoriseerimine

"LITSENTSI ADMIN" Litsentsihalduse jaoks on vaja õigusi.

SAP HANA auditeerimine

SAP HANA auditeerimisfunktsioonid võimaldavad teil jälgida ja salvestada tehtud toiminguid SAP HANA süsteem. Need funktsioonid tuleks enne auditipoliitika loomist süsteemi jaoks aktiveerida.

Autoriseerimine SAP HANA auditeerimine

"AUDITI ADMIN"Süsteemi õigused on vajalikud SAP HANA auditeerimine.

kokkuvõte

Selles õpetuses oleme õppinud järgmist teemat -

SAP HANA turvalisuse ülevaade.
SAP HANA autentimine üksikasjalikult.
SAP HANA autoriseerimine üksikasjalikult.
SAP HANA kasutaja haldusmeetod.
SAP HANA rollihalduse meetod
SAP HANA litsentsi haldusprotsess.
SAP HANA rolli auditeerimise protsess.