SAP HANA Security: täydellinen opetusohjelma

by: Mason Garcia Mason Garcia
Hours Päivitetty

Mikä on Sap Hana Security?

SAP HANA Security suojaa tärkeitä tietoja luvattomalta käytöltä ja varmistaa, että standardit ja vaatimustenmukaisuus vastaavat yrityksen hyväksymiä turvallisuusstandardeja.

SAP HANA tarjoaa toiminnon eli Multitenant-tietokannan, jossa voidaan luoda useita tietokantoja yhdelle SAP HANA järjestelmä. Se tunnetaan monivuokralaisena tietokantasäiliönä. Niin SAP HANA tarjoaa kaikki tietoturvaan liittyvät ominaisuudet kaikille monivuokralaistietokantasäiliöille.

SAP HANA Tarjoa seuraavat turvallisuuteen liittyvät ominaisuudet -

  • Käyttäjien ja roolien hallinta
  • Lupa
  • Authentication
  • Pysyvyyskerroksen tietojen salaus
  • Tietojen salaus verkkokerroksessa

SAP HANA käyttäjä ja rooli

SAP HANA-käyttäjien ja roolien hallinnan konfiguraatio riippuu alla olevasta arkkitehtuurista -

  1. 3-Tier Archirakenne.

    SAP HANAa voidaan käyttää relaatiotietokantana 3-tasossa Archirakenne.

    Tässä arkkitehtuurissa suojausominaisuudet (valtuutus, todennus, salaus ja tarkastus) asennetaan sovelluspalvelintasoille.

    SAP sovellus (ERP, BW jne.) muodostaa yhteyden tietokantaan vain teknisen käyttäjän tai tietokannan ylläpitäjän (perushenkilö) avulla. Loppukäyttäjä ei voi päästä suoraan tietokantaan tai tietokantapalvelimeen.

SAP HANA 3-tasoinen Archirakenne

  1. 2-Tier Archirakenne.

    SAP HANA Extended Application Services (SAP HANA XS) perustuu 2-tasoon ArchiTecture, jossa Sovelluspalvelin, Web-palvelin ja kehitysympäristö on upotettu yhteen järjestelmään.

SAP HANA 2-tasoinen Archirakenne

SAP HANA-todennus

Tietokannan käyttäjä tunnistaa, kuka käyttää SAP HANA-tietokanta. Se varmistetaan prosessilla nimeltä "Authentication". SAP HANA tukee monia todennusmenetelmiä. Kertakirjautumista (SSO) käytetään integroimaan useita todennusmenetelmiä.

SAP HANA tukee seuraavaa todennusmenetelmää -

  • Kerberos: Sitä voidaan käyttää seuraavassa tapauksessa -
  • Suoraan JDBC:stä ja ODBC Clientistä (SAP HANA Studio).

  • Kun pääsyyn käytetään HTTP:tä SAP HANA XS.

  • Käyttäjänimi Salasana Kun käyttäjä syöttää tietokantansa käyttäjätunnuksen ja salasanan, sitten SAP HANA-tietokanta todentaa käyttäjän.

  • Security Assertion Markup Language (SAML)

    SAML voidaan käyttää todentamiseen SAP HANA Käyttäjä, joka käyttää SAP HANA-tietokanta suoraan ODBC/JDBC:n kautta. Se on prosessi, jossa ulkoisen käyttäjän identiteetti kartoitetaan sisäiseen tietokannan käyttäjään, jotta käyttäjä voi kirjautua sisään sap-tietokantaan ulkoisella käyttäjätunnuksella.

  • SAP Sisäänkirjautuminen ja vahvistusliput

    Käyttäjä voidaan todentaa Logon- tai Assertion Ticketsillä, jotka määritetään ja myönnetään käyttäjälle lipun luomista varten.

  • X.509-asiakasvarmenteet

    Kun SAP HANA XS Access HTTP:n kautta, luotettavan varmentajan (CA) allekirjoittamia asiakasvarmenteita voidaan käyttää käyttäjän todentamiseen.

SAP HANA-valtuutus

SAP HANA-valtuutus vaaditaan, kun käyttäjä käyttää asiakasliittymää (JDBC, ODBC tai HTTP) päästäkseen SAP HANA-tietokanta.

Riippuen käyttäjälle annetusta valtuudesta, se voi suorittaa tietokantatoimintoja tietokantaobjektille. Tätä valtuutusta kutsutaan "etuoikeuksiksi".

Oikeudet voidaan myöntää käyttäjälle suoraan tai epäsuorasti (roolien kautta). Kaikki käyttäjille myönnetyt oikeudet yhdistetään yhdeksi yksiköksi.

Kun käyttäjä yrittää käyttää jotakin SAP HANA-tietokantaobjekti, HANA-järjestelmä suorittaa valtuutustarkistuksen käyttäjälle käyttäjäroolien kautta ja myöntää oikeudet suoraan.

Kun pyydetyt oikeudet löytyvät, HANA-järjestelmä ohittaa lisätarkistukset ja myöntää pääsyn pyyntötietokantaobjekteihin.

In SAP HANA seuraavat oikeudet ovat heidän -

Etuoikeustyypit Tuotetiedot
Järjestelmän oikeudet Se ohjaa normaalia järjestelmän toimintaa. Järjestelmän oikeuksia käytetään pääasiassa -

  • Kaavion luominen ja poistaminen sisään SAP HANA-tietokanta
  • Käyttäjän ja roolin hallinta SAP HANA-tietokanta
  • Seuranta ja jäljitys SAP HANA-tietokanta
  • Tietojen varmuuskopiointi
  • Hallintolisenssi
  • Hallintaversio
  • Tarkastuksen hallinta
  • Sisällön tuonti ja vienti
  • Toimitusyksiköiden ylläpito
Objektin oikeudet Objektin oikeudet ovat SQL oikeudet, joita käytetään antamaan lupa lukea ja muokata tietokantaobjekteja. Päästäkseen tietokantaobjekteihin käyttäjä tarvitsee tietokantaobjektien tai skeeman, jossa tietokantaobjekti on, objektioikeudet. Objektioikeudet voidaan myöntää luetteloobjekteille (taulukko, näkymä jne.) tai ei-katalogiobjekteille (kehitysobjekteille).
Objektin oikeudet ovat seuraavat -

  • LUO MITÄ tahansa
  • PÄIVITYS, LISÄÄ, VALITSE, POISTA, PUDOTA, MUUTA, SUORITA
  • HAKEMISTO, TRIGGER, VINKKIJÄRJESTELMÄ, VIITTEET
Analyyttiset oikeudet Analyyttisiä oikeuksia käytetään sallimaan tietojen lukuoikeus SAP HANA Tietomalli (attribuuttinäkymä, analyyttinen näkymä, laskentanäkymä).

  • Tämä etuoikeus arvioidaan kyselyn käsittelyn aikana.
  • Analyyttiset oikeudet myöntävät eri käyttäjille pääsyn datan eri osiin
  • Sama tietonäkymä käyttäjän roolin perusteella.
  • Analyyttisiä oikeuksia käytetään SAP HANA-tietokanta rivitason tietojen tarjoamiseksi

Hallinta, että yksittäiset käyttäjät voivat nähdä tiedot, on samassa näkymässä.
Paketin etuoikeudet Pakettioikeuksia käytetään antamaan valtuutus yksittäisten pakettien toimiin SAP HANA-arkisto.
Sovellusoikeudet Sovellusoikeudet vaaditaan In SAP HANA Extended Application Services (SAP HANA XS) pääsysovellukseen.

Sovellusoikeudet myönnetään ja peruutetaan _SYS_REPO-skeeman toimenpiteidenGRANT_APPLICATION_PRIVILEGE ja REVOKE_APPLICATION_PRIVILEGE avulla.
Käyttäjän oikeudet Se on SQL-oikeudet, jotka käyttäjä voi myöntää omalle käyttäjälleen. TACH DEBUGGER on ainoa käyttöoikeus, joka voidaan myöntää käyttäjälle.

AIHEESEEN LIITTYVÄT ARTIKKELIT

SAP HANA-käyttäjien hallinta ja roolien hallinta

Pääsy SAP HANA-tietokanta, käyttäjiä tarvitaan. Eri suojauskäytännöistä riippuen sisään on kahdenlaisia ​​käyttäjiä SAP HANA kuten alla -

  1. Tekninen käyttäjä (DBA-käyttäjä) – Se on käyttäjä, joka työskentelee suoraan SAP HANA-tietokanta tarvittavilla oikeuksilla. Yleensä näitä käyttäjiä ei poisteta tietokannasta.

    Nämä käyttäjät luodaan hallintatehtävää varten, kuten objektin luomiseen ja oikeuksien myöntämiseen tietokantaobjektille tai sovellukselle.

    SAP HANA-tietokantajärjestelmä tarjoaa seuraavan käyttäjän oletusarvoisesti vakiokäyttäjänä -

  • SYSTEM
  • SYS
  • _SYS_REPO

  1. Tietokanta tai oikea käyttäjä: Jokainen käyttäjä, joka haluaa työskennellä SAP HANA-tietokanta, tarvitset tietokannan käyttäjän. Tietokannan käyttäjä on todellinen henkilö, joka työskentelee SAP HANA.

    Tietokannan käyttäjiä on kahdenlaisia, kuten alla -

Käyttäjätyyppi Tuotetiedot Rooli määrätty
Vakiokäyttäjä Tämä käyttäjä voi luoda objekteja omassa skeemassa ja lukea tietoja järjestelmänäkymistä. Vakiokäyttäjä luotiin "CREATE USER" -käskyllä. JULKINEN rooli on määritetty luetuille järjestelmänäkymille.
Rajoitettu käyttäjä Rajoitettu käyttäjä ei saa täyttä SQL-käyttöoikeutta SQL-konsolin kautta, ja se on luotu CREATE RESTRICTED USER -käskyllä. Jos jonkin sovelluksen käyttö edellyttää oikeuksia, ne annetaan roolin kautta.

  • Rajoitettu käyttäjä ei voi luoda tietokantaobjekteja.
  • Rajoitettu käyttäjä ei voi tarkastella tietokannan tietoja.
  • Rajoitettu käyttäjä muodostaa yhteyden tietokantaan vain HTTP:n kautta.
  • Asiakasyhteyden ODBC/JDBC-käyttö on otettava käyttöön SQL-käskyllä.
 RESTRICTED_USER_ODBC_ACCESS tai RESTRICTED_USER_JDBC_ACCESS-rooli vaaditaan käyttäjältä ODBC/JDBC-toimintojen täyden käyttöoikeuden saamiseksi

SAP HANA-käyttäjän järjestelmänvalvojalla on pääsy seuraavaan toimintaan -

  1. Luo/poista käyttäjä.
  2. Määritä ja luo rooli.
  3. Myönnä Rooli käyttäjälle.
  4. Nollataan käyttäjän salasana.
  5. Aktivoi / deaktivoi käyttäjä uudelleen tarpeen mukaan.

1. Luo käyttäjä sisään SAP HANA- Vain tietokannan käyttäjä, jolla on ROLE ADMIN -oikeudet, voi luoda käyttäjän ja roolin SAP HANA.

Vaihe 1) Luodaksesi uuden käyttäjän sisään SAP HANA Studio mene suojausvälilehdelle alla olevan kuvan mukaisesti ja seuraa seuraavia vaiheita;

  1. Siirry suojaussolmuun.
  2. Valitse Käyttäjät (oikea napsautus) -> Uusi käyttäjä.

Luo käyttäjä sisään SAP HANA

Vaihe 2) Näkyviin tulee käyttäjän luontinäyttö.

  1. Syötä käyttäjätunnus.
  2. Anna käyttäjän salasana.
  3. Nämä ovat todennusmekanismeja, oletuksena käyttäjätunnusta / salasanaa käytetään todentamiseen.

Luo käyttäjä sisään SAP HANA

Napsauttamalla käyttöönottoaLuo käyttäjä sisään SAP HANAPainikkeen käyttäjä luodaan.

2. Määritä ja luo rooli

Rooli on kokoelma oikeuksia, jotka voidaan myöntää muille käyttäjille tai roolille. Rooli sisältää oikeudet tietokantaobjektille ja -sovellukselle sekä työn luonteesta riippuen.

Se on vakiomekanismi oikeuksien myöntämiseen. Käyttöoikeudet voidaan myöntää suoraan käyttäjälle. Käytettävissä on monia vakiorooleja (esim. MALLINTA, VALVONTA jne.). SAP HANA-tietokanta.

Voimme käyttää vakioroolia mallina mukautetun roolin luomiseen.

Rooli voi sisältää seuraavat oikeudet –

  • Järjestelmän käyttöoikeudet hallinta- ja kehitystehtäviin (KATALOGIN LUKEMINEN, AUDIT ADMIN jne.)
  • Tietokantaobjektien objektioikeudet (SELECT, INSERT, DELETE jne.)
  • Analyyttiset oikeudet käyttäjälle SAP HANA-tietonäkymä
  • Arkistopakettien pakettioikeudet (REPO.READ, REPO.EDIT_NATIVE_OBJECTS jne.)
  • Sovellusoikeudet kohteelle SAP HANA XS -sovellukset.
  • Käyttäjän oikeudet (menettelyn virheenkorjausta varten).

Roolin luominen

Vaihe 1) Tässä vaiheessa

  1. Siirry kohtaan Suojaussolmu SAP HANA järjestelmä.
  2. Valitse Roolisolmu (oikea napsautus) ja valitse Uusi rooli.

Roolin luominen sisään SAP HANA

Vaihe 2) Näyttöön tulee roolin luontinäyttö.

Roolin luominen sisään SAP HANA

  1. Anna roolin nimi kohtaan Uusi roolilohko.
  2. Valitse Myönnetty rooli -välilehti ja napsauta "+" -kuvaketta lisätäksesi vakioroolin tai poistuvan roolin.
  3. Valitse haluttu rooli (esim. MALLINTO, VALVONTA jne.)

Vaihe 3) Tässä vaiheessa

  1. Valittu rooli lisätään Myönnetyt roolit -välilehteen.
  2. Oikeudet voidaan määrittää suoraan käyttäjälle valitsemalla Järjestelmäoikeudet, objektin oikeudet, Analyyttiset oikeudet, Pakettioikeudet jne.
  3. Luo rooli napsauttamalla käyttöönottokuvaketta.

Roolin luominen sisään SAP HANA

Valitse vaihtoehto "Myönnetty muille käyttäjille ja rooleille", jos haluat määrittää tämän roolin toiselle käyttäjälle ja roolille.

3. Myönnä rooli käyttäjälle

Vaihe 1) Tässä vaiheessa määritämme roolin "MODELLING_VIEW" toiselle käyttäjälle "ABHI_TEST".

  1. Siirry Suojaussolmu-kohdan User-alisolmuun ja kaksoisnapsauta sitä. Käyttäjäikkuna tulee näkyviin.
  2. Napsauta Myönnetyt roolit "+" -kuvaketta.
  3. Näyttöön tulee ponnahdusikkuna, hakuroolin nimi, joka määritetään käyttäjälle.

Myönnä rooli käyttäjälle sisään SAP HANA

Vaihe 2) Tässä vaiheessa rooli "MODELLING_VIEW" lisätään Rooliin.

Myönnä rooli käyttäjälle sisään SAP HANA

Vaihe 3) Tässä vaiheessa

  1. Napsauta Ota käyttöön -painiketta.
  2. Viesti "Käyttäjä 'ABHI_TEST" muutettu tulee näkyviin.

Myönnä rooli käyttäjälle

4. Käyttäjän salasanan nollaaminen

Jos käyttäjän salasana on nollattava, siirry Suojaussolmu-kohdan User-alisolmuun ja kaksoisnapsauta sitä. Käyttäjäikkuna tulee näkyviin.

Vaihe 1) Tässä vaiheessa

  1. Syötä uusi salasana.
  2. Anna Vahvista salasana.

Nollataan käyttäjän salasana

Vaihe 2) Tässä vaiheessa

  1. Napsauta Ota käyttöön -painiketta.
  2. Viesti "Käyttäjä 'ABHI_TEST" muutettu tulee näkyviin.

Nollataan käyttäjän salasana sisään SAP HANA

5. Aktivoi käyttäjä uudelleen/deaktivoi

Siirry Suojaussolmu-kohdan User-alisolmuun ja kaksoisnapsauta sitä. Käyttäjäikkuna tulee näkyviin.

Siellä on De-Activate User -kuvake. Klikkaa sitä

Aktivoi käyttäjä uudelleen/deaktivoi SAP HANA

Vahvistusviesti "Ponnahdusikkuna" tulee näkyviin. Napsauta Kyllä-painiketta.

Aktivoi käyttäjä uudelleen/deaktivoi SAP HANA

Viesti "Käyttäjä 'ABHI_TEST' deaktivoitu" tulee näkyviin. De-Activate-kuvake muuttuu nimellä "Aktivoi käyttäjä". Nyt voimme aktivoida käyttäjän samasta kuvakkeesta.

SAP HANA-lisenssien hallinta

Käyttöön tarvitaan lisenssiavain SAP HANA-tietokanta. Lisenssiavain voidaan asentaa ja poistaa käyttämällä SAP HANA Studio, SAP HANA HDBSQL Command Line -työkalu ja HANA SQL Query -editori.

SAP HANA-tietokanta tukee kahden tyyppisiä lisenssiavaimia -

  • Pysyvä lisenssiavain: Pysyvät lisenssiavaimet ovat voimassa vanhenemispäivään asti. Meidän on pyydettävä ja käytettävä lisenssiavain ennen voimassaolon päättymistä. Jos lisenssiavain vanhenee, tilapäinen lisenssiavain asennetaan automaattisesti 28 päiväksi.
  • Väliaikainen lisenssiavain: Tämä asennetaan automaattisesti uuden kanssa SAP HANA-tietokannan asennus. Se on voimassa 90 päivää ja myöhemmin voi hakea Pysyvää avainta alkaen SAP.

Lisenssien hallinnan valtuutus

"KÄYTTÖOIKEUSJÄRJESTELMÄNVALVOJA" Käyttöoikeuksien hallinta edellyttää oikeuksia.

SAP HANA Auditointi

SAP HANA Auditing -ominaisuuksien avulla voit seurata ja tallentaa toimintaa, joka suoritetaan SAP HANA järjestelmä. Nämä ominaisuudet tulee aktivoida järjestelmässä ennen tarkastuskäytännön luomista.

Valtuutus kohteelle SAP HANA Auditointi

"TARKASTUSJÄRJESTELMÄNVALVOJA"Järjestelmän käyttöoikeudet vaaditaan SAP HANA Auditointi.

Yhteenveto

Tässä opetusohjelmassa olemme oppineet seuraavan aiheen -

  • SAP HANA-tietoturvakatsaus.
  • SAP HANA-todennus yksityiskohtaisesti.
  • SAP HANA-valtuutus yksityiskohtaisesti.
  • SAP HANA-käyttäjien hallintamenetelmä.
  • SAP HANA-roolin hallintamenetelmä
  • SAP HANA-lisenssinhallintaprosessi.
  • SAP HANA-roolin auditointiprosessi.