SAP HANA Security: Teljes oktatóanyag

Mi az a Sap Hana Security?

SAP A HANA Security megvédi a fontos adatokat az illetéktelen hozzáféréstől, és biztosítja, hogy a szabványok és a megfelelőség megfeleljen a vállalat által elfogadott biztonsági szabványnak.

SAP A HANA egy olyan létesítményt, azaz többbérlős adatbázist biztosít, amelyben több adatbázis is létrehozható egyetlen helyen SAP HANA rendszer. Többbérlős adatbázis-tárolóként ismert. Így SAP A HANA minden biztonsággal kapcsolatos funkciót biztosít az összes többbérlős adatbázis-tárolóhoz.

SAP HANNA Az alábbi biztonsági funkciók biztosítása –

• Felhasználó- és szerepkezelés
• Meghatalmazás
• Hitelesítés
• Adatok titkosítása a Persistence Layerben
• Adatok titkosítása a hálózati rétegben

SAP HANA felhasználó és szerepkör

SAP A HANA felhasználói és szerepkör-kezelési konfigurációja az alábbiak szerint függ az architektúrától –

1. 3-rétegű Architectúra.

   SAP A HANA használható relációs adatbázisként egy 3-rétegben Architectúra.

   Ebben az architektúrában a biztonsági szolgáltatások (engedélyezés, hitelesítés, titkosítás és auditálás) az alkalmazáskiszolgálói rétegekre vannak telepítve.

   SAP alkalmazás (ERP, BW stb.) csak technikai felhasználó vagy adatbázis-adminisztrátor (Bas Person) segítségével csatlakozik az adatbázishoz. A végfelhasználó nem férhet hozzá közvetlenül az adatbázishoz vagy adatbázis-kiszolgálóhoz.

2. 2-rétegű Architectúra.

   SAP HANA kiterjesztett alkalmazásszolgáltatások (SAP HANA XS) 2-szinten alapul Architecture, amelyben az Alkalmazáskiszolgáló, a Webszerver és a Fejlesztői környezet egyetlen rendszerbe van beágyazva.

SAP HANA hitelesítés

Az adatbázis-felhasználó azonosítja, hogy ki fér hozzá a SAP HANA adatbázis. Ellenőrzése az „Authentication” nevű folyamaton keresztül történik. SAP A HANA számos hitelesítési módszert támogat. Az egyszeri bejelentkezés (SSO) több hitelesítési módszer integrálására szolgál.

SAP A HANA a következő hitelesítési módot támogatja -

• Kerberos: A következő esetekben használható:
• Közvetlenül a JDBC-ből és az ODBC-kliensből (SAP HANA Stúdió).

• Amikor HTTP-t használnak a hozzáféréshez SAP HANA XS.

• Felhasználónév jelszó Amikor a felhasználó megadja az adatbázis felhasználónevét és jelszavát, akkor SAP A HANA adatbázis hitelesíti a felhasználót.

• Security Assertion Markup Language (SAML)

  SAML hitelesítésre használható SAP HANA felhasználó, aki hozzáfér SAP HANA adatbázis közvetlenül az ODBC/JDBC-n keresztül. Ez egy folyamat a külső felhasználói identitás leképezésére a belső adatbázis-felhasználóhoz, így a felhasználó bejelentkezhet az sap adatbázisba a külső felhasználói azonosítóval.

• SAP Bejelentkezési és érvényesítési jegyek

  A felhasználót bejelentkezési vagy érvényesítési jegyekkel lehet hitelesíteni, amelyek konfigurálva vannak és kiadják a felhasználónak jegy létrehozásához.

• X.509 Ügyféltanúsítványok

  Amikor SAP HANA XS Access by HTTP, a megbízható hitelesítésszolgáltató (CA) által aláírt ügyféltanúsítványok használhatók a felhasználó hitelesítésére.

SAP HANA engedélyezés

SAP HANA-engedélyre van szükség, ha egy felhasználó kliens felületet (JDBC, ODBC vagy HTTP) használ a hozzáféréshez SAP HANA adatbázis.

A felhasználónak adott jogosultságtól függően képes adatbázis-műveleteket végrehajtani az adatbázis-objektumon. Ezt a felhatalmazást „kiváltságoknak” nevezik.

A Jogosultságok közvetlenül vagy közvetve (szerepeken keresztül) adhatók a felhasználónak. A felhasználókhoz rendelt összes jogosultság egyetlen egységként van egyesítve.

Amikor a felhasználó megpróbál hozzáférni bármely SAP A HANA adatbázis-objektum, a HANA rendszer jogosultság-ellenőrzést végez a felhasználónál a felhasználói szerepkörökön keresztül, és közvetlenül megadja a jogosultságokat.

Amikor a kért jogosultságokat megtalálja, a HANA rendszer kihagyja a további ellenőrzéseket, és hozzáférést biztosít a kérelmező adatbázis-objektumokhoz.

In SAP A HANA következő jogosultságai az övék:

Jogosultságok típusai	Leírás
Rendszerjogosultságok	Szabályozza a rendszer normál tevékenységét. A rendszerjogosultságokat főként a következőkre használják: Séma létrehozása és törlése itt SAP HANA adatbázis Felhasználó és szerepkör kezelése SAP HANA adatbázis Nyomon követése és nyomon követése SAP HANA adatbázis Adatmentések készítése Kezelési engedély Kezelő verzió Ellenőrzés irányítása Tartalom importálása és exportálása Szállítási egységek karbantartása
Objektumjogok	Az objektumjogok SQL Az adatbázis-objektumok olvasásához és módosításához használt jogosultságokat. Az adatbázis-objektumok eléréséhez a felhasználónak objektumjogosultságra van szüksége az adatbázis-objektumokhoz vagy azon a sémán, amelyben az adatbázis-objektum létezik. Objektumjogosultságok adhatók katalógusobjektumokhoz (tábla, nézet stb.) vagy nem katalógusobjektumokhoz (fejlesztési objektumok). Az objektum jogosultságai a következők: BÁRMILYEN LÉTREHOZÁS FRISSÍTÉS, BESZÁLLÍTÁS, KIVÁLASZTÁS, TÖRLÉS, DROP, MÓDOSÍTÁS, VÉGREHAJTÁS INDEX, TRIGGER, HIBAKERESÉS, REFERENCIÁK
Analitikai jogosultságok	Az analitikai jogosultságok segítségével olvasási hozzáférést tesznek lehetővé az adatokhoz SAP HANA információs modell (attribútumnézet, elemző nézet, számítási nézet). Ezt a jogosultságot a rendszer a lekérdezés feldolgozása során értékeli. Az Analitikai jogosultságok különböző felhasználói hozzáférést biztosítanak az adatok különböző részeihez Ugyanaz az információs nézet a felhasználói szerepkör alapján. Az elemzői jogosultságokat használják SAP HANA adatbázis a sor szintű adatok biztosításához Ugyanabban a nézetben szabályozható, hogy az egyes felhasználók lássák az adatokat.
Csomag kiváltságok	A csomagjogosultságokat arra használjuk, hogy engedélyezzék az egyes csomagokon végrehajtott műveleteket SAP HANA Repository.
Alkalmazási jogosultságok	Alkalmazási jogosultságok szükségesek az In SAP HANA kiterjesztett alkalmazásszolgáltatások (SAP HANA XS) hozzáférési alkalmazáshoz. Az alkalmazásjogosultságok megadása és visszavonása a _SYS_REPO sémában a GRANT_APPLICATION_PRIVILEGE és REVOKE_APPLICATION_PRIVILEGE eljárásokkal történik.
Felhasználói jogosultságok	Ez egy SQL-jogosultság, amelyet a felhasználó adhat meg saját felhasználó számára. Az ATACH DEBUGGER az egyetlen jogosultság, amely a felhasználó számára biztosítható.

SAP HANA felhasználói adminisztráció és szerepkörök kezelése

Hozzáférni SAP HANA adatbázis, felhasználókra van szükség. A különböző biztonsági szabályoktól függően kétféle felhasználó létezik SAP HANA az alábbiak szerint -

1. Műszaki felhasználó (DBA felhasználó) – Ez egy olyan felhasználó, aki közvetlenül dolgozik vele SAP HANA adatbázis a szükséges jogosultságokkal. Általában ezek a felhasználók nem törlődnek az adatbázisból.

   Ezeket a felhasználókat olyan adminisztrációs feladatokhoz hozzák létre, mint például egy objektum létrehozása és az adatbázis-objektumhoz vagy az alkalmazáshoz való jogosultságok biztosítása.

   SAP A HANA Database rendszer alapértelmezés szerint a következő felhasználót biztosítja normál felhasználóként –

• RENDSZER
• SYS
• _SYS_REPO

2. Adatbázis vagy valódi felhasználó: Minden felhasználó, aki dolgozni akar SAP HANA adatbázis, adatbázis-felhasználó szükséges. Az adatbázis-felhasználók valós személy, aki tovább dolgozik SAP HANA.

   Kétféle adatbázis-felhasználó létezik, az alábbiak szerint:

Felhasználói típus	Leírás	Szerep kiosztva
Szabványos felhasználó	Ez a felhasználó objektumokat hozhat létre saját sémában, és rendszernézetekben olvashat adatokat. Normál felhasználó létrehozva a „CREATE USER” utasítással.	NYILVÁNOS szerepkör van hozzárendelve az olvasott rendszernézetekhez.
Korlátozott felhasználó	A korlátozott felhasználónak nincs teljes SQL-hozzáférése az SQL-konzolon keresztül, és a „CREATE RESTRICTED USER” utasítással jött létre. Ha bármely alkalmazás használatához jogosultságok szükségesek, akkor azokat a szerepkörön keresztül biztosítják. Korlátozott felhasználó nem hozhat létre adatbázis-objektumokat. Korlátozott felhasználó nem tekintheti meg az adatbázisban lévő adatokat. A korlátozott felhasználó csak HTTP-n keresztül csatlakozik az adatbázishoz. Az ODBC/JDBC hozzáférést az ügyfélkapcsolathoz engedélyezni kell az SQL utasítással.	RESTRICTED_USER_ODBC_ACCESS vagy RESTRICTED_USER_JDBC_ACCESS szerepkör szükséges a felhasználónak az ODBC/JDBC funkciók teljes hozzáféréséhez

SAP A HANA felhasználói rendszergazdája a következő tevékenységhez férhet hozzá:

1. Felhasználó létrehozása/törlése.
2. Szerepkör meghatározása és létrehozása.
3. Szerepkör megadása a felhasználónak.
4. Felhasználói jelszó visszaállítása.
5. A felhasználó újraaktiválása/deaktiválása az igényeknek megfelelően.

1. Felhasználó létrehozása SAP HANA- csak ROLE ADMIN jogosultsággal rendelkező adatbázis-felhasználók hozhatnak létre felhasználót és szerepkört SAP HANA.

Step 1) Új felhasználó létrehozásához SAP A HANA Studio lépjen a Biztonság fülre az alábbiak szerint, és kövesse az alábbi lépéseket;

1. Menjen a biztonsági csomóponthoz.
2. Válassza a Felhasználók (jobb kattintás) -> Új felhasználó lehetőséget.

Step 2) Megjelenik egy felhasználó létrehozási képernyő.

1. Adja meg a felhasználónevet.
2. Adja meg a felhasználó jelszavát.
3. Ezek hitelesítési mechanizmusok, alapértelmezés szerint a felhasználónév/jelszó a hitelesítésre szolgál.

A telepítésre kattintvaA gomb felhasználója létrejön.

2. Szerepkör meghatározása és létrehozása

A szerepkör olyan jogosultságok gyűjteménye, amelyek más felhasználóknak vagy szerepkörnek adhatók. A szerepkör jogosultságokat tartalmaz adatbázis-objektumhoz és alkalmazáshoz, valamint a feladat jellegétől függően.

Ez egy szabványos mechanizmus a jogosultságok biztosítására. A jogosultságokat közvetlenül a felhasználó kaphatja meg. Számos szabványos szerepkör (pl. MODELLEZÉS, MONITORING, stb.) érhető el SAP HANA adatbázis.

A standard szerepkört sablonként használhatjuk egyéni szerepkör létrehozásához.

Egy szerepkör a következő jogosultságokat tartalmazhatja:

• Rendszerjogosultságok adminisztrációs és fejlesztési feladatokhoz (KATALÓGUS READ, AUDIT ADMIN stb.)
• Objektumjogok adatbázis-objektumokhoz (SELECT, INSERT, DELETE stb.)
• Analitikai jogosultságok: SAP HANA információs nézet
• Csomagjogok a lerakatcsomagokon (REPO.READ, REPO.EDIT_NATIVE_OBJECTS stb.)
• Alkalmazási jogosultságok a következőhöz: SAP HANA XS alkalmazások.
• A felhasználó jogosultságai (Az eljárás hibakereséséhez).

Szerepteremtés

Step 1) Ebben a lépésben a

1. Nyissa meg a Biztonsági csomópontot SAP HANA rendszer.
2. Válassza a Szerepcsomópontot (jobb kattintás), majd válassza az Új szerep lehetőséget.

Step 2) Megjelenik egy szereplétrehozási képernyő.

1. Adja meg a szerepkör nevét az Új szerepkör blokk alatt.
2. Válassza a Megadott szerep lapot, és kattintson a „+” ikonra a normál szerepkör hozzáadásához vagy a kilépéshez.
3. Válassza ki a kívánt szerepet (pl. MODELLEZÉS, MONITORING stb.)

Step 3) Ebben a lépésben a

1. A kiválasztott szerepkör hozzáadódik a Megadott szerepkörök laphoz.
2. A jogosultságokat közvetlenül hozzárendelheti a felhasználóhoz a Rendszerjogosultságok, Objektumjogosultságok, Analitikai jogosultságok, Csomagjogok stb. kiválasztásával.
3. Kattintson a telepítés ikonra a szerep létrehozásához.

Jelölje be a „Más felhasználóknak és szerepköröknek átadható” opciót, ha ezt a szerepet más felhasználóhoz és szerepkörhöz kívánja rendelni.

3. Szerepkör megadása a felhasználónak

Step 1) Ebben a lépésben a „MODELLING_VIEW” szerepet egy másik „ABHI_TEST” felhasználóhoz rendeljük.

1. Nyissa meg a Felhasználói alcsomópontot a Biztonsági csomópont alatt, és kattintson rá duplán. Megjelenik a felhasználói ablak.
2. Kattintson a Megadott szerepek „+” ikonra.
3. Megjelenik egy előugró ablak, a Keresési szerepkör neve, amely a felhasználóhoz lesz rendelve.

Step 2) Ebben a lépésben a „MODELLING_VIEW” szerepkör hozzáadódik a Role alatt.

Step 3) Ebben a lépésben a

1. Kattintson a Telepítés gombra.
2. Megjelenik a „User 'ABHI_TEST” üzenet.

4. Felhasználói jelszó visszaállítása

Ha a felhasználói jelszót vissza kell állítani, akkor lépjen a Felhasználói alcsomópontra a Biztonsági csomópont alatt, és kattintson rá duplán. Megjelenik a felhasználói ablak.

Step 1) Ebben a lépésben a

1. Adjon meg új jelszót.
2. Írja be a Jelszó megerősítése.

Step 2) Ebben a lépésben a

1. Kattintson a Telepítés gombra.
2. Megjelenik az „ABHI_TEST felhasználó” üzenet.

5. Felhasználó újraaktiválása/deaktiválása

Nyissa meg a Felhasználói alcsomópontot a Biztonsági csomópont alatt, és kattintson rá duplán. Megjelenik a felhasználói ablak.

A felhasználó deaktiválása ikon látható. Kattintson rá

Megjelenik a „Popup” megerősítő üzenet. Kattintson az 'Igen' gombra.

Megjelenik az „ABHI_TEST felhasználó deaktiválva” üzenet. A Deaktiválás ikon „Felhasználó aktiválása” névre változik. Most ugyanarról az ikonról aktiválhatjuk a felhasználót.

SAP HANA licenckezelés

A használathoz licenckulcs szükséges SAP HANA adatbázis. A licenckulcs a segítségével telepíthető és törölhető SAP HANA Stúdió, SAP HANA HDBSQL parancssori eszköz és HANA SQL Query szerkesztő.

SAP A HANA adatbázis kétféle licenckulcsot támogat –

• Állandó licenckulcs: Az állandó licenckulcsok a lejárati dátumig érvényesek. A licenckulcsot a lejárat előtt kell kérnünk és alkalmaznunk. Ha a licenckulcs lejár, az ideiglenes licenckulcsok automatikusan telepítésre kerülnek 28 napra.
• Ideiglenes licenckulcs: Ez automatikusan telepítésre kerül egy új SAP HANA adatbázis telepítés. Érvényessége 90 nap, később pedig től igényelhető Állandó kulcs SAP.

Licenckezelés engedélyezése

"LICENC ADMIN" jogosultságok szükségesek a Licenckezeléshez.

SAP HANA auditálás

SAP A HANA auditálási funkciói lehetővé teszik a végrehajtott műveletek nyomon követését és rögzítését SAP HANA rendszer. Ezt a szolgáltatást aktiválni kell a rendszerben, mielőtt létrehozná az ellenőrzési szabályzatot.

Engedélyezés ehhez SAP HANA auditálás

„AUDIT ADMIN”Rendszerjogosultságok szükségesek ehhez SAP HANA auditálás.

Összegzésként

Ebben az oktatóanyagban a következő témát tanultuk meg:

• SAP HANA biztonsági áttekintés.
• SAP HANA hitelesítés részletesen.
• SAP HANA engedély részletesen.
• SAP HANA felhasználói adminisztrációs módszer.
• SAP HANA szerepkör-adminisztrációs módszer
• SAP HANA licenckezelési folyamat.
• SAP HANA szerepkör auditálási folyamata.