SAP Sicurezza HANA: tutorial completo

By: Muratore Garcia Muratore Garcia
Hours aggiornato

Cos'è la sicurezza Sap Hana?

SAP HANA Security protegge i dati importanti da accessi non autorizzati e garantisce che gli standard e la conformità soddisfino gli standard di sicurezza adottati dall'azienda.

SAP HANA fornisce una funzionalità, ad esempio un database multitenant, in cui è possibile creare più database su un singolo database SAP Sistema HANA. È noto come contenitore di database multitenant. COSÌ SAP HANA fornisce tutte le funzionalità relative alla sicurezza per tutti i contenitori di database multi-tenant.

SAP HANA Fornisce le seguenti funzionalità relative alla sicurezza:

  • Gestione utenti e ruoli
  • Autorizzazione
  • Autenticazione
  • Crittografia dei dati nel livello di persistenza
  • Crittografia dei dati nel livello di rete

SAP Utente e ruolo HANA

SAP La configurazione della gestione degli utenti e dei ruoli HANA dipende dall'architettura come di seguito:

  1. 3-Tier Architectura.

    SAP HANA può essere utilizzato come database relazionale in un sistema a 3 livelli Architectura.

    In questa architettura, le funzionalità di sicurezza (autorizzazione, autenticazione, crittografia e auditing) sono installate sui livelli del server applicativo.

    SAP l'applicazione (ERP, BW, ecc.) si collega al database solo con l'aiuto di un utente tecnico o amministratore del database (Basis Person). L'utente finale non può accedere direttamente al database o al server del database.

SAP HANA a 3 livelli Architectura

  1. 2-Tier Architectura.

    SAP Servizi applicativi estesi HANA (SAP HANA XS) si basa su 2 livelli Architecture, in cui Application Server, Web Server e Ambiente di sviluppo sono incorporati in un unico sistema.

SAP HANA a 2 livelli Architectura

SAP Autenticazione HANA

L'utente del database identifica chi sta accedendo al file SAP Banca dati HANA. Viene verificato attraverso un processo denominato "Autenticazione". SAP HANA supporta molti metodi di autenticazione. Il Single Sign-on (SSO) viene utilizzato per integrare diversi metodi di autenticazione.

SAP HANA supporta i seguenti metodi di autenticazione:

  • Kerberos: Può essere utilizzato nel caso seguente:
  • Direttamente dal client JDBC e ODBC (SAP Studio HANA).

  • Quando viene utilizzato HTTP per accedere SAP HANA XS.

  • Nome utente/Password Quando l'utente inserisce il nome utente e la password del database, quindi SAP Il database HANA autentica l'utente.

  • Security Assertion Markup Language (SAML)

    SAML può essere utilizzato per autenticarsi SAP Utente HANA, che sta accedendo SAP Database HANA direttamente tramite ODBC/JDBC. È un processo di mappatura dell'identità dell'utente esterno all'utente del database interno, in modo che l'utente possa effettuare l'accesso al database SAP con l'ID utente esterno.

  • SAP Ticket di accesso e di asserzione

    L'utente può essere autenticato tramite ticket di accesso o di asserzione, che viene configurato e rilasciato all'utente per la creazione di un ticket.

  • Certificati client X.509

    Quando SAP Accesso HANA XS tramite HTTP, i certificati client firmati da un'autorità di certificazione (CA) attendibile possono essere utilizzati per autenticare l'utente.

SAP Autorizzazione HANA

SAP L'autorizzazione HANA è richiesta quando un utente utilizza l'interfaccia client (JDBC, ODBC o HTTP) per accedere a SAP Banca dati HANA.

A seconda dell'autorizzazione fornita all'utente, può eseguire operazioni di database sull'oggetto del database. Questa autorizzazione è chiamata “privilegi”.

I Privilegi possono essere concessi all'utente direttamente o indirettamente (tramite ruoli). Tutti i privilegi assegnati agli utenti vengono combinati come una singola unità.

Quando un utente tenta di accedere a qualsiasi file SAP Oggetto database HANA, il sistema HANA esegue il controllo dell'autorizzazione sull'utente attraverso i ruoli utente e concede direttamente i privilegi.

Una volta trovati i privilegi richiesti, il sistema HANA salta ulteriori controlli e concede l'accesso per richiedere gli oggetti del database.

In SAP I seguenti privilegi HANA sono loro:

Tipi di privilegi Descrizione
Privilegi di sistema Controlla la normale attività del sistema. I privilegi di sistema vengono utilizzati principalmente per:

  • Creazione ed eliminazione dello schema in SAP Banca dati HANA
  • Gestione utente e ruolo in SAP Banca dati HANA
  • Monitoraggio e tracciabilità SAP Banca dati HANA
  • Esecuzione di backup dei dati
  • Licenza di gestione
  • Versione di gestione
  • Gestione dell'audit
  • Importazione ed esportazione di contenuti
  • Mantenimento delle unità di consegna
Privilegi oggetto I privilegi degli oggetti lo sono SQL privilegi utilizzati per concedere l'autorizzazione a leggere e modificare gli oggetti del database. Per accedere agli oggetti del database, l'utente necessita dei privilegi sugli oggetti del database o sullo schema in cui esiste l'oggetto del database. I privilegi sugli oggetti possono essere concessi a oggetti di catalogo (tabella, vista, ecc.) o oggetti non di catalogo (oggetti di sviluppo).
I privilegi degli oggetti sono i seguenti:

  • CREA QUALSIASI
  • AGGIORNA, INSERISCE, SELEZIONA, ELIMINA, DROP, ALTERA, ESEGUITE
  • INDICE, TRIGGER, DEBUG, RIFERIMENTI
Privilegi analitici I privilegi analitici vengono utilizzati per consentire l'accesso in lettura ai dati di SAP Modello informativo HANA (vista attributi, vista analitica, vista calcoli).

  • Questo privilegio viene valutato durante l'elaborazione della query.
  • I privilegi analitici garantiscono a diversi utenti l'accesso a diverse parti dei dati nel file
  • Stessa visualizzazione delle informazioni in base al ruolo dell'utente.
  • I privilegi analitici vengono utilizzati in SAP Database HANA per fornire dati a livello di riga

Il controllo per consentire ai singoli utenti di visualizzare i dati è nella stessa vista.
Privilegi del pacchetto I privilegi del pacchetto vengono utilizzati per fornire l'autorizzazione per le azioni sui singoli pacchetti in SAP Archivio HANA.
Privilegi dell'applicazione I privilegi dell'applicazione sono richiesti in In SAP Servizi applicativi estesi HANA (SAP HANA XS) per l'applicazione di accesso.

I privilegi dell'applicazione vengono concessi e revocati tramite le procedureGRANT_APPLICATION_PRIVILEGE e REVOKE_APPLICATION_PRIVILEGE nello schema _SYS_REPO.
Privilegi sull'utente È un privilegio SQL, che può essere concesso dall'utente al proprio utente. ATTACH DEBUGGER è l'unico privilegio che può essere concesso a un utente.

ARTICOLI CORRELATI

SAP Amministrazione utenti HANA e gestione dei ruoli

Accedere SAP Database HANA, gli utenti sono obbligatori. A seconda della diversa politica di sicurezza sono presenti due tipi di utenti SAP HANA come di seguito –

  1. Utente tecnico (utente DBA) – È un utente con cui lavori direttamente SAP Database HANA con i privilegi necessari. Normalmente, questi utenti non vengono eliminati dal database.

    Questi utenti vengono creati per un'attività amministrativa come la creazione di un oggetto e la concessione di privilegi sull'oggetto del database o sull'applicazione.

    SAP Il sistema di database HANA fornisce per impostazione predefinita l'utente seguente come utente standard:

  • SISTEMA
  • SYS
  • _SYS_REPO

  1. Database o Utente Reale: Ogni utente su cui vuole lavorare SAP Database HANA, è necessario un utente del database. L'utente del database è una persona reale su cui lavora SAP HANA.

    Esistono due tipi di utente del database come di seguito:

Tipologia di utente Descrizione Ruolo assegnato
Utente standard Questo utente può creare oggetti in un proprio schema e leggere i dati nelle visualizzazioni di sistema. Utente standard creato con l'istruzione "CREATE USER". Il ruolo PUBLIC viene assegnato per le visualizzazioni di sistema di lettura.
Utente con restrizioni L'utente con restrizioni non ha accesso SQL completo tramite una console SQL e viene creato con l'istruzione "CREATE RESTRICTED USER". Se i privilegi sono richiesti per l'utilizzo di qualsiasi applicazione, vengono forniti tramite il ruolo.

  • L'utente con restrizioni non può creare oggetti di database.
  • L'utente con restrizioni non può visualizzare i dati nel database.
  • L'utente limitato si connette al database solo tramite HTTP.
  • L'accesso ODBC/JDBC per la connessione client deve essere abilitato con l'istruzione SQL.
 Ruolo RESTRICTED_USER_ODBC_ACCESS o RESTRICTED_USER_JDBC_ACCESS richiesto all'utente per l'accesso completo alla funzionalità ODBC/JDBC

SAP L'amministratore utente HANA ha accesso alle seguenti attività:

  1. Crea/elimina utente.
  2. Definire e creare ruolo.
  3. Concedere il ruolo all'utente.
  4. Reimpostazione della password utente.
  5. Riattivare/disattivare l'utente in base alle esigenze.

1. Crea utente in SAP HANA- solo l'utente del database con privilegi di RUOLO ADMIN può creare utente e ruolo SAP HANA.

Passo 1) Per creare un nuovo utente in SAP HANA Studio va alla scheda sicurezza come mostrato di seguito e segue i passaggi seguenti;

  1. Vai al nodo di sicurezza.
  2. Seleziona Utenti (clic destro) -> Nuovo utente.

Crea utente in SAP HANA

Passo 2) Viene visualizzata una schermata di creazione dell'utente.

  1. Inserire username.
  2. Immettere la password per l'utente.
  3. Questi sono meccanismi di autenticazione, per impostazione predefinita il nome utente/password viene utilizzato per l'autenticazione.

Crea utente in SAP HANA

Facendo clic su DistribuisciCrea utente in SAP HANAVerrà creato l'utente del pulsante.

2. Definire e creare un ruolo

Un ruolo è una raccolta di privilegi che possono essere concessi ad altri utenti o ruoli. Il ruolo include privilegi per l'oggetto e l'applicazione del database e dipende dalla natura del lavoro.

È un meccanismo standard per concedere privilegi. I privilegi possono essere concessi direttamente all'utente. Sono disponibili molti ruoli standard (ad esempio MODELLAZIONE, MONITORAGGIO, ecc.). SAP Banca dati HANA.

Possiamo utilizzare il ruolo standard come modello per creare un ruolo personalizzato.

Un ruolo può contenere i seguenti privilegi:

  • Privilegi di sistema per attività amministrative e di sviluppo (LETTURA CATALOGO, AUDIT ADMIN, ecc.)
  • Privilegi oggetto per gli oggetti del database (SELECT, INSERT, DELETE, ecc.)
  • Privilegi analitici per SAP Visualizzazione delle informazioni HANA
  • Privilegi pacchetto sui pacchetti repository (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, ecc.)
  • Privilegi dell'applicazione per SAP Applicazioni HANA XS.
  • Privilegi sull'utente (per il debug della procedura).

Creazione di ruoli

Passo 1) In questa fase,

  1. Vai al nodo Sicurezza in SAP Sistema HANA.
  2. Selezionare Nodo Ruolo (clic destro) e selezionare Nuovo ruolo.

Creazione del ruolo in SAP HANA

Passo 2) Viene visualizzata una schermata di creazione del ruolo.

Creazione del ruolo in SAP HANA

  1. Assegnare il nome del ruolo in Nuovo blocco ruolo.
  2. Seleziona la scheda Ruolo concesso e fai clic sull'icona "+" per aggiungere il ruolo standard o uscire dal ruolo.
  3. Seleziona il ruolo desiderato (es. MODELLAZIONE, MONITORAGGIO, ecc.)

Passo 3) In questa fase,

  1. Il ruolo selezionato viene aggiunto nella scheda Ruoli concessi.
  2. I privilegi possono essere assegnati direttamente all'utente selezionando Privilegi di sistema, Privilegi di oggetto, Privilegi di analitica, Privilegi di pacchetto, ecc.
  3. Fare clic sull'icona di distribuzione per creare il ruolo.

Creazione del ruolo in SAP HANA

Seleziona l'opzione "Concedibile ad altri utenti e ruoli", se desideri assegnare questo ruolo ad altri utenti e ruoli.

3. Concedere il ruolo all'utente

Passo 1) In questo passaggio, assegneremo il ruolo "MODELLING_VIEW" a un altro utente "ABHI_TEST".

  1. Vai al sotto-nodo Utente sotto il nodo Sicurezza e fai doppio clic. Apparirà la finestra Utente.
  2. Fare clic sull'icona Ruoli concessi "+".
  3. Verrà visualizzato un popup, Cerca il nome del ruolo che verrà assegnato all'utente.

Concedi ruolo all'utente in SAP HANA

Passo 2) In questo passaggio, il ruolo "MODELLING_VIEW" verrà aggiunto in Ruolo.

Concedi ruolo all'utente in SAP HANA

Passo 3) In questa fase,

  1. Fare clic sul pulsante Distribuisci.
  2. Viene visualizzato il messaggio "Utente 'ABHI_TEST" modificato.

Concedi ruolo all'utente

4. Reimpostazione della password utente

Se la password utente deve essere reimpostata, vai al sotto-nodo Utente sotto il nodo Sicurezza e fai doppio clic. Verrà visualizzata la finestra Utente.

Passo 1) In questa fase,

  1. Inserire una nuova password.
  2. Inserisci Conferma password.

Reimpostazione della password utente

Passo 2) In questa fase,

  1. Fare clic sul pulsante Distribuisci.
  2. Viene visualizzato il messaggio "Utente 'ABHI_TEST" modificato.

Reimpostazione della password utente in SAP HANA

5. Riattiva/Disattiva Utente

Vai al sotto-nodo Utente sotto il nodo Sicurezza e fai doppio clic. Apparirà la finestra Utente.

C'è l'icona Disattiva utente. Cliccaci sopra

Riattiva/Disattiva utente in SAP HANA

Apparirà un messaggio di conferma “Popup”. Fare clic sul pulsante "Sì".

Riattiva/Disattiva utente in SAP HANA

Verrà visualizzato il messaggio “Utente 'ABHI_TEST' disattivato”. L'icona Disattiva cambia con il nome “Attiva utente”. Ora possiamo attivare l'utente dalla stessa icona.

SAP Gestione delle licenze HANA

Per utilizzare è necessaria la chiave di licenza SAP Banca dati HANA. Una chiave di licenza può essere installata ed eliminata utilizzando SAP Studio HANA, SAP Strumento da riga di comando HANA HDBSQL ed editor di query HANA SQL.

SAP Il database HANA supporta due tipi di chiavi di licenza:

  • Chiave di licenza permanente: Le chiavi di licenza permanenti sono valide fino alla data di scadenza. Dobbiamo richiedere e applicare la chiave di licenza prima della scadenza. Se la chiave di licenza scade, la chiave di licenza temporanea verrà installata automaticamente per 28 giorni.
  • Chiave di licenza temporanea: Questo viene installato automaticamente con un nuovo SAP Installazione del database HANA. È valido per 90 giorni e successivamente è possibile richiedere la chiave permanente da SAP.

Autorizzazione alla gestione delle licenze

“AMMINISTRAZIONE LICENZA” sono richiesti privilegi per la gestione delle licenze.

SAP Controllo HANA

SAP Le funzionalità di controllo di HANA consentono di monitorare e registrare l'azione eseguita in SAP Sistema HANA. Questa funzionalità deve essere attivata per il sistema prima di creare la politica di controllo.

Autorizzazione per SAP Controllo HANA

“AMMINISTRAZIONE CONTROLLO”Privilegi di sistema richiesti per SAP Verifica HANA.

Sommario

In questo tutorial abbiamo imparato il seguente argomento:

  • SAP Panoramica sulla sicurezza HANA.
  • SAP Autenticazione HANA in dettaglio.
  • SAP Autorizzazione HANA in dettaglio.
  • SAP Metodo di amministrazione utenti HANA.
  • SAP Metodo di amministrazione dei ruoli HANA
  • SAP Processo di gestione delle licenze HANA.
  • SAP Processo di audit del ruolo HANA.

Potrebbe piacerti: