SAP Sécurité HANA : didacticiel complet

Par : Maçon García Maçon García
Hours Le kit de préparation mis à jour

Qu'est-ce que la sécurité Sap Hana ?

SAP HANA Security protège les données importantes contre tout accès non autorisé et garantit que les normes et la conformité sont conformes aux normes de sécurité adoptées par l'entreprise.

SAP HANA fournit une fonctionnalité, à savoir une base de données multi-tenant, dans laquelle plusieurs bases de données peuvent être créées sur un seul. SAP Système HANA. Il est connu sous le nom de conteneur de base de données mutualisé. Donc SAP HANA fournit toutes les fonctionnalités liées à la sécurité pour tous les conteneurs de bases de données mutualisées.

SAP HANA Fournir la fonctionnalité suivante liée à la sécurité :

  • Gestion des utilisateurs et des rôles
  • Autorisation
  • Authentification
  • Chiffrement des données dans la couche de persistance
  • Cryptage des données dans la couche réseau

SAP Utilisateur et rôle HANA

SAP La configuration de la gestion des utilisateurs et des rôles HANA dépend de l’architecture comme indiqué ci-dessous :

  1. 3-Tier Architecture.

    SAP HANA peut être utilisé comme base de données relationnelle dans un système à 3 niveaux Architecture.

    Dans cette architecture, les fonctionnalités de sécurité (autorisation, authentification, chiffrement et audit) sont installées sur les couches du serveur d'applications.

    SAP L'application (ERP, BW, etc.) se connecte à la base de données uniquement avec l'aide d'un utilisateur technique ou d'un administrateur de base de données (Basis Person). L'utilisateur final ne peut pas accéder directement à la base de données ou au serveur de base de données.

SAP HANA à 3 niveaux Architecture

  1. 2-Tier Architecture.

    SAP Services d'applications étendus HANA (SAP Hana XS) est basé sur 2 niveaux Architecture, dans laquelle le serveur d'applications, le serveur Web et l'environnement de développement sont intégrés dans un seul système.

SAP HANA à 2 niveaux Architecture

SAP Authentification HANA

L'utilisateur de la base de données identifie qui accède au SAP Base de données HANA. Elle est vérifiée via un processus nommé « Authentification ». SAP HANA prend en charge de nombreuses méthodes d'authentification. L'authentification unique (SSO) est utilisée pour intégrer plusieurs méthodes d'authentification.

SAP HANA prend en charge la méthode d’authentification suivante :

  • Kerberos : Il peut être utilisé dans le cas suivant –
  • Directement depuis le client JDBC et ODBC (SAP Studio Hana).

  • Lorsque HTTP est utilisé pour accéder SAP HANA XS.

  • Identifiant Mot de passe Lorsque l'utilisateur saisit son nom d'utilisateur et son mot de passe pour la base de données, alors SAP La base de données HANA authentifie l'utilisateur.

  • Langage de balisage d'assertion de sécurité (SAML)

    SAML peut être utilisé pour authentifier SAP Utilisateur HANA, qui accède SAP Base de données HANA directement via ODBC/JDBC. Il s'agit d'un processus de mappage de l'identité de l'utilisateur externe à l'utilisateur de la base de données interne, afin que l'utilisateur puisse se connecter à la base de données SAP avec l'ID de l'utilisateur externe.

  • SAP Tickets de connexion et d’assertion

    L'utilisateur peut être authentifié par des tickets de connexion ou d'assertion, qui sont configurés et émis à l'utilisateur pour créer un ticket.

  • Certificats clients X.509

    Lorsque SAP Accès HANA XS par HTTP, les certificats clients signés par une autorité de certification (CA) de confiance peuvent être utilisés pour authentifier l'utilisateur.

SAP Autorisation HANA

SAP L'autorisation HANA est requise lorsqu'un utilisateur utilisant l'interface client (JDBC, ODBC ou HTTP) pour accéder au SAP Base de données HANA.

En fonction de l'autorisation fournie à l'utilisateur, il peut effectuer des opérations de base de données sur l'objet de base de données. Cette autorisation est appelée « privilèges ».

Les privilèges peuvent être accordés à l'utilisateur directement ou indirectement (via des rôles). Tous les privilèges attribués aux utilisateurs sont combinés en une seule unité.

Lorsqu'un utilisateur tente d'accéder à un SAP Objet de base de données HANA, le système HANA effectue une vérification d'autorisation sur l'utilisateur via des rôles d'utilisateur et accorde directement les privilèges.

Lorsque les privilèges demandés sont trouvés, le système HANA ignore les vérifications supplémentaires et accorde l'accès aux objets de base de données demandés.

In SAP Les privilèges suivants de HANA sont les leurs –

Types de privilèges Description
Privilèges système Il contrôle l’activité normale du système. Les privilèges système sont principalement utilisés pour –

  • Création et suppression d'un schéma dans SAP Base de données HANA
  • Gestion des utilisateurs et des rôles dans SAP Base de données HANA
  • Surveillance et traçabilité des SAP Base de données HANA
  • Effectuer des sauvegardes de données
  • Gestion des licences
  • Gestion des versions
  • Gestion de l'audit
  • Importation et exportation de contenu
  • Gestion des unités de livraison
Privilèges objet Les privilèges d'objet sont SQL privilèges utilisés pour accorder l’autorisation de lire et de modifier les objets de la base de données. Pour accéder aux objets de base de données, l'utilisateur a besoin de privilèges d'objet sur les objets de base de données ou sur le schéma dans lequel l'objet de base de données existe. Les privilèges d'objet peuvent être accordés à des objets de catalogue (table, vue, etc.) ou à des objets hors catalogue (objets de développement).
Les privilèges d'objet sont les suivants :

  • CRÉER TOUT
  • METTRE À JOUR, INSÉRER, SÉLECTIONNER, SUPPRIMER, SUPPRIMER, MODIFIER, EXÉCUTER
  • INDEX, DÉCLENCHEUR, DÉBOGAGE, RÉFÉRENCES
Privilèges analytiques Les privilèges analytiques sont utilisés pour autoriser l'accès en lecture aux données de SAP Modèle d'information HANA (vue d'attribut, vue analytique, vue de calcul).

  • Ce privilège est évalué lors du traitement des requêtes.
  • Les privilèges analytiques accordent à différents utilisateurs un accès à différentes parties des données dans le
  • Même vue d’informations basée sur le rôle de l’utilisateur.
  • Les privilèges analytiques sont utilisés dans SAP Base de données HANA pour fournir des données au niveau des lignes

Le contrôle permettant aux utilisateurs individuels de voir les données s'effectue dans la même vue.
Privilèges du forfait Les privilèges de package sont utilisés pour fournir une autorisation pour des actions sur des packages individuels dans SAP Référentiel HANA.
Privilèges d'application Les privilèges d’application sont requis dans In SAP Services d'applications étendus HANA (SAP HANA XS) pour l'application d'accès.

Les privilèges d'application sont accordés et révoqués via les procédures GRANT_APPLICATION_PRIVILEGE et REVOKE_APPLICATION_PRIVILEGE dans le schéma _SYS_REPO.
Privilèges sur l'utilisateur Il s'agit de privilèges SQL que l'utilisateur peut accorder à son propre utilisateur. ATTACH DEBUGGER est le seul privilège qui peut être accordé à un utilisateur.

ARTICLES LIÉS

SAP Administration des utilisateurs HANA et gestion des rôles

Accéder SAP Base de données HANA, les utilisateurs sont requis. En fonction des différentes politiques de sécurité, il existe deux types d'utilisateurs dans SAP HANA comme ci-dessous –

  1. Utilisateur technique (utilisateur DBA) – C'est un utilisateur qui travaille directement avec SAP Base de données HANA avec les privilèges nécessaires. Normalement, ces utilisateurs ne sont pas supprimés de la base de données.

    Ces utilisateurs sont créés pour une tâche administrative telle que la création d'un objet et l'octroi de privilèges sur un objet de base de données ou sur l'application.

    SAP Le système de base de données HANA fournit l'utilisateur suivant par défaut en tant qu'utilisateur standard :

  • SYSTÈME
  • SYS
  • _SYS_REPO

  1. Base de données ou utilisateur réel : Chaque utilisateur qui souhaite travailler sur SAP Base de données HANA, besoin d'un utilisateur de base de données. L'utilisateur de la base de données est une personne réelle qui travaille sur SAP HANA.

    Il existe deux types d'utilisateurs de base de données comme ci-dessous :

Type d'utilisateur Description Rôle attribué
Utilisateur standard Cet utilisateur peut créer des objets dans son propre schéma et lire les données dans les vues système. Utilisateur standard créé avec l'instruction « CREATE USER ». Le rôle PUBLIC est attribué pour la lecture des vues système.
Utilisateur restreint L'utilisateur restreint n'a pas d'accès SQL complet via une console SQL et est créé avec l'instruction « CREATE RESTRICTED USER ». Si des privilèges sont requis pour l'utilisation d'une application, ils sont fournis via le rôle.

  • L'utilisateur restreint ne peut pas créer d'objets de base de données.
  • L'utilisateur restreint ne peut pas afficher les données dans la base de données.
  • L'utilisateur restreint se connecte à la base de données via HTTP uniquement.
  • L'accès ODBC/JDBC pour la connexion client doit être activé avec une instruction SQL.
 Rôle RESTRICTED_USER_ODBC_ACCESS ou RESTRICTED_USER_JDBC_ACCESS requis pour l'utilisateur pour un accès complet aux fonctionnalités ODBC/JDBC

SAP L'administrateur utilisateur HANA a accès à l'activité suivante :

  1. Créer/supprimer un utilisateur.
  2. Définir et créer un rôle.
  3. Accordez un rôle à l'utilisateur.
  4. Réinitialisation du mot de passe utilisateur.
  5. Réactiver/désactiver l'utilisateur selon les besoins.

1. Créez un utilisateur dans SAP HANA- seul l'utilisateur de base de données disposant des privilèges ROLE ADMIN peut créer un utilisateur et un rôle dans SAP HANA.

Étape 1) Pour créer un nouvel utilisateur dans SAP HANA Studio, accédez à l’onglet Sécurité comme indiqué ci-dessous et suivez les étapes suivantes ;

  1. Accédez au nœud de sécurité.
  2. Sélectionnez Utilisateurs (clic droit) -> Nouvel utilisateur.

Créer un utilisateur dans SAP HANA

Étape 2) Un écran de création d'utilisateur apparaît.

  1. Saisissez votre nom d'utilisateur.
  2. Entrez le mot de passe de l'utilisateur.
  3. Il s'agit d'un mécanisme d'authentification, par défaut le nom d'utilisateur/mot de passe est utilisé pour l'authentification.

Créer un utilisateur dans SAP HANA

En cliquant sur le déploiementCréer un utilisateur dans SAP HANAL'utilisateur du bouton sera créé.

2. Définir et créer un rôle

Un rôle est un ensemble de privilèges qui peuvent être accordés à d'autres utilisateurs ou rôles. Le rôle comprend des privilèges pour les objets et les applications de base de données et en fonction de la nature du travail.

Il s'agit d'un mécanisme standard pour accorder des privilèges. Les privilèges peuvent être directement accordés à l'utilisateur. Il existe de nombreux rôles standards (par exemple MODÉLISATION, SUIVI, etc.) disponibles dans SAP Base de données HANA.

Nous pouvons utiliser le rôle standard comme modèle pour créer un rôle personnalisé.

Un rôle peut contenir les privilèges suivants :

  • Privilèges système pour les tâches d'administration et de développement (CATALOG READ, AUDIT ADMIN, etc.)
  • Privilèges d'objet pour les objets de base de données (SELECT, INSERT, DELETE, etc.)
  • Privilèges analytiques pour SAP Affichage des informations HANA
  • Privilèges de package sur les packages de référentiel (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
  • Privilèges de candidature pour SAP Applications HANA XS.
  • Privilèges sur l'utilisateur (Pour le débogage de la procédure).

Création de rôle

Étape 1) Dans cette étape,

  1. Accédez au nœud Sécurité dans SAP Système HANA.
  2. Sélectionnez le nœud de rôle (clic droit) et sélectionnez Nouveau rôle.

Création de rôle dans SAP HANA

Étape 2) Un écran de création de rôle s'affiche.

Création de rôle dans SAP HANA

  1. Donnez le nom du rôle sous Nouveau bloc de rôle.
  2. Sélectionnez l'onglet Rôle accordé et cliquez sur l'icône « + » pour ajouter un rôle standard ou un rôle sortant.
  3. Sélectionnez le rôle souhaité (par exemple, MODÉLISATION, SUIVI, etc.)

Étape 3) Dans cette étape,

  1. Le rôle sélectionné est ajouté dans l'onglet Rôles accordés.
  2. Les privilèges peuvent être attribués directement à l'utilisateur en sélectionnant les privilèges système, les privilèges d'objet, les privilèges analytiques, les privilèges de package, etc.
  3. Cliquez sur l'icône de déploiement pour créer un rôle.

Création de rôle dans SAP HANA

Cochez l'option « Accordable à d'autres utilisateurs et rôles » si vous souhaitez attribuer ce rôle à d'autres utilisateurs et rôles.

3. Accorder un rôle à l'utilisateur

Étape 1) Dans cette étape, nous attribuerons le rôle « MODELLING_VIEW » à un autre utilisateur « ABHI_TEST ».

  1. Accédez au sous-nœud Utilisateur sous le nœud Sécurité et double-cliquez dessus. La fenêtre utilisateur s'affichera.
  2. Cliquez sur l'icône « + » Rôles accordés.
  3. Une fenêtre contextuelle apparaîtra, recherchant le nom du rôle qui sera attribué à l'utilisateur.

Accorder un rôle à l'utilisateur dans SAP HANA

Étape 2) Dans cette étape, le rôle « MODELLING_VIEW » sera ajouté sous Rôle.

Accorder un rôle à l'utilisateur dans SAP HANA

Étape 3) Dans cette étape,

  1. Cliquez sur le bouton Déployer.
  2. Un message « Utilisateur 'ABHI_TEST » modifié s'affiche.

Accorder un rôle à l'utilisateur

4. Réinitialisation du mot de passe utilisateur

Si le mot de passe de l'utilisateur doit être réinitialisé, accédez au sous-nœud Utilisateur sous le nœud Sécurité et double-cliquez dessus. La fenêtre utilisateur s'affichera.

Étape 1) Dans cette étape,

  1. Entrez un nouveau mot de passe.
  2. Entrez Confirmer le mot de passe.

Réinitialisation du mot de passe utilisateur

Étape 2) Dans cette étape,

  1. Cliquez sur le bouton Déployer.
  2. Un message « Utilisateur 'ABHI_TEST » modifié s'affiche.

Réinitialisation du mot de passe utilisateur dans SAP HANA

5. Réactiver/Désactiver l'utilisateur

Accédez au sous-nœud Utilisateur sous le nœud Sécurité et double-cliquez dessus. La fenêtre utilisateur s'affichera.

Il y a une icône Désactiver l'utilisateur. Clique dessus

Réactiver/Désactiver l'utilisateur dans SAP HANA

Un message de confirmation « Popup » apparaîtra. Cliquez sur le bouton « Oui ».

Réactiver/Désactiver l'utilisateur dans SAP HANA

Un message « Utilisateur 'ABHI_TEST' désactivé » s'affichera. L'icône Désactiver change avec le nom « Activer l'utilisateur ». Nous pouvons maintenant activer l'utilisateur à partir de la même icône.

SAP Gestion des licences HANA

La clé de licence est requise pour utiliser SAP Base de données HANA. Une clé de licence peut être installée et supprimée à l'aide de SAP Hana Studio, SAP Outil de ligne de commande HANA HDBSQL et éditeur de requêtes HANA SQL.

SAP La base de données HANA prend en charge deux types de clé de licence :

  • Clé de licence permanente : Les clés de licence permanentes sont valables jusqu'à la date d'expiration. Nous devons demander et appliquer la clé de licence avant son expiration. Si la clé de licence expire, la clé de licence temporaire est automatiquement installée pendant 28 jours.
  • Clé de licence temporaire : Ceci est automatiquement installé avec un nouveau SAP Installation de la base de données HANA. Elle est valable 90 jours et peut ensuite demander une clé permanente à partir de SAP.

Autorisation de gestion des licences

« ADMINISTRATEUR DE LICENCE » des privilèges sont requis pour la gestion des licences.

SAP Audit HANA

SAP Les fonctionnalités d'audit HANA vous permettent de surveiller et d'enregistrer les actions effectuées dans SAP Système HANA. Ces fonctionnalités doivent être activées pour le système avant de créer une politique d’audit.

Autorisation pour SAP Audit HANA

"ADMINISTRATEUR D'AUDIT"Privilèges système requis pour SAP Audit HANA.

Résumé

Dans ce didacticiel, nous avons appris le sujet suivant :

  • SAP Présentation de la sécurité HANA.
  • SAP Authentification HANA en détail.
  • SAP Autorisation HANA en détail.
  • SAP Méthode d’administration des utilisateurs HANA.
  • SAP Méthode d'administration des rôles HANA
  • SAP Processus de gestion des licences HANA.
  • SAP Processus d’audit des rôles HANA.