SAP HANA セキュリティ: 完全なチュートリアル

替え: メイソンガルシア メイソンガルシア
Hours 更新中

サプハナセキュリティとは何ですか?

SAP HANA セキュリティは、重要なデータを不正アクセスから保護し、企業が採用しているセキュリティ標準に従って標準とコンプライアンスが満たされていることを保証します。

SAP HANAは、単一のサーバに複数のデータベースを作成できるマルチテナントデータベース機能を提供します。 SAP HANAシステム。マルチテナントデータベースコンテナとして知られています。 SAP HANA は、すべてのマルチテナント データベース コンテナーにセキュリティ関連のすべての機能を提供します。

SAP HANA 以下のセキュリティ関連機能を提供します –

  • ユーザーと役割の管理
  • Authorization
  • 認証
  • 永続層でのデータの暗号化
  • ネットワーク層でのデータの暗号化

SAP HANA ユーザーとロール

SAP HANA ユーザーとロールの管理構成は、以下のようにアーキテクチャによって異なります。

  1. 3層 Archi構造。

    SAP HANAは3層リレーショナルデータベースとして使用できます Archi構造。

    このアーキテクチャでは、セキュリティ機能 (承認、認証、暗号化、監査) がアプリケーション サーバー層にインストールされます。

    SAP アプリケーション (ERP、BW など) は、技術ユーザーまたはデータベース管理者 (Basis Person) の支援を受けてのみデータベースに接続します。エンド ユーザーは、データベースまたはデータベース サーバーに直接アクセスすることはできません。

SAP HANA 3層 Archi構造

  1. 2層 Archi構造。

    SAP HANA拡張アプリケーションサービス(SAP ハナXS 2層に基づいています Archiアプリケーションサーバー、Webサーバー、開発環境を一つのシステムに組み込んだ構造。

SAP HANA 2層 Archi構造

SAP HANA認証

データベースユーザーは、誰がアクセスしているかを識別します SAP HANA データベース。これは、「認証」と呼ばれるプロセスを通じて検証されます。 SAP HANA は多くの認証方法をサポートしています。シングル サインオン (SSO) は、複数の認証方法を統合するために使用されます。

SAP HANAは次の認証方法をサポートしています –

  • ケルベロス: 次のような場合に使用できます。
  • JDBC および ODBC クライアントから直接 (SAP ハナスタジオ).

  • HTTPを使用してアクセスする場合 SAP ハナXS。

  • ユーザー名パスワード ユーザーがデータベースのユーザー名とパスワードを入力すると、 SAP HANA データベースはユーザーを認証します。

  • セキュリティ アサーション マークアップ言語(SAML)

    SAML 認証に使用できる SAP アクセスしているHANAユーザー SAP ODBC/JDBC を介して直接 HANA データベースに接続します。これは、外部ユーザー ID を内部データベース ユーザーにマッピングするプロセスであり、ユーザーは外部ユーザー ID を使用して SAP データベースにログインできます。

  • SAP ログオンおよびアサーション チケット

    ユーザーは、チケットを作成するために構成され、ユーザーに発行されるログオン チケットまたはアサーション チケットによって認証できます。

  • X.509 クライアント証明書

    日時 SAP HTTP による HANA XS アクセスでは、信頼できる証明機関 (CA) によって署名されたクライアント証明書を使用してユーザーを認証できます。

SAP HANA 認証

SAP HANA認証は、クライアントインターフェース(JDBC、ODBC、またはHTTP)を使用してアクセスするユーザーに必要です。 SAP HANA データベース。

ユーザーに付与された権限に応じて、データベース オブジェクトに対してデータベース操作を実行できます。この権限は「権限」と呼ばれます。

権限は、ユーザーに直接または間接的に (ロールを通じて) 付与できます。 ユーザーに割り当てられたすべての権限は、XNUMX つのユニットとして結合されます。

ユーザーが SAP HANA データベース オブジェクトでは、HANA システムはユーザー ロールを通じてユーザーの承認チェックを実行し、権限を直接付与します。

要求された権限が見つかると、HANA システムはそれ以上のチェックをスキップし、要求したデータベース オブジェクトへのアクセスを許可します。

In SAP HANAの次の権限は次のとおりです。

権限の種類 詳細説明
システム特権 通常のシステムアクティビティを制御します。 システム権限は主に次の目的で使用されます。

  • スキーマの作成と削除 SAP HANA データベース
  • ユーザーとロールの管理 SAP HANA データベース
  • 監視と追跡 SAP HANAデータベース
  • データのバックアップの実行
  • ライセンスの管理
  • バージョンの管理
  • 監査の管理
  • コンテンツのインポートとエクスポート
  • 配送単位の維持
オブジェクト権限 オブジェクト権限は次のとおりです。 SQL データベース オブジェクトの読み取りと変更を許可するために使用される権限。 データベース オブジェクトにアクセスするには、ユーザーはデータベース オブジェクト、またはデータベース オブジェクトが存在するスキーマに対するオブジェクト権限が必要です。 オブジェクト権限は、カタログ オブジェクト (テーブル、ビューなど) または非カタログ オブジェクト (開発オブジェクト) に付与できます。
オブジェクト権限は以下のとおりです –

  • 何でも作成
  • 更新、挿入、選択、削除、ドロップ、変更、実行
  • インデックス、トリガー、デバッグ、リファレンス
分析権限 分析権限は、以下のデータへの読み取りアクセスを許可するために使用されます。 SAP HANA 情報モデル (属性ビュー、分析ビュー、計算ビュー)。

  • この権限はクエリ処理中に評価されます。
  • 分析権限は、データのさまざまな部分に対するさまざまなユーザー アクセスを許可します。
  • ユーザーの役割に基づいて同じ情報が表示されます。
  • 分析権限は、 SAP 行レベルのデータを提供するHANAデータベース

個々のユーザーがデータを表示するためのコントロールは同じビュー内にあります。
パッケージ特典 パッケージ権限は、個々のパッケージに対するアクションの承認を与えるために使用されます。 SAP HANA リポジトリ。
アプリケーションの権限 アプリケーション権限が必要です SAP HANA拡張アプリケーションサービス(SAP アクセス アプリケーション用の HANA XS。

アプリケーション権限は、_SYS_REPO スキーマのプロシージャ GRANT_APPLICATION_PRIVILEGE および REVOKE_APPLICATION_PRIVILEGE プロシージャを通じて付与および取り消しされます。
ユーザーの権限 これは、ユーザーが自分のユーザーに付与できる SQL 権限です。 ATTACH DEBUGGER は、ユーザーに付与できる唯一の権限です。

関連記事

SAP HANA ユーザー管理とロール管理

アクセスするために SAP HANAデータベースでは、ユーザーが必要です。セキュリティポリシーに応じて、2種類のユーザーが存在します。 SAP HANAは以下のとおりです –

  1. 技術ユーザー (DBA ユーザー) – 直接作業するのはユーザーです SAP 必要な権限を持つ HANA データベース。通常、これらのユーザーはデータベースから削除されません。

    これらのユーザーは、オブジェクトの作成やデータベース オブジェクトまたはアプリケーションに対する権限の付与などの管理タスクのために作成されます。

    SAP HANAデータベースシステムは、デフォルトで標準ユーザーとして次のユーザーを提供します。

  • SYSTEM
  • SYS
  • _SYS_REPO

  1. データベースまたは実際のユーザー: 作業したい各ユーザー SAP HANAデータベースにはデータベースユーザーが必要です。データベースユーザーとは、 SAP ハナ。

    データベース ユーザーには次の XNUMX 種類があります。

ユーザータイプ 詳細説明 割り当てられた役割
標準ユーザー このユーザーは独自のスキーマでオブジェクトを作成し、システム ビューでデータを読み取ることができます。 「CREATE USER」ステートメントで作成された標準ユーザー。 PUBLIC ロールは読み取りシステム ビューに割り当てられます。
制限付きユーザー 制限付きユーザーには、SQL コンソールを介した完全な SQL アクセス権はなく、「CREATE RESTRICTED USER」ステートメントで作成されます。 アプリケーションの使用に特権が必要な場合、それらはロールを通じて提供されます。

  • 制限付きユーザーはデータベース オブジェクトを作成できません。
  • 制限付きユーザーはデータベース内のデータを表示できません。
  • 制限されたユーザーは HTTP のみを介してデータベースに接続します。
  • クライアント接続のための ODBC/JDBC アクセスは SQL ステートメントで有効にする必要があります。
 ODBC/JDBC 機能のフルアクセスを行うには、RESTRICTED_USER_ODBC_ACCESS または RESTRICTED_USER_JDBC_ACCESS ロールが必要です

SAP HANAユーザー管理者は以下のアクティビティにアクセスできます –

  1. ユーザーを作成/削除します。
  2. ロールを定義して作成します。
  3. ユーザーに役割を付与します。
  4. ユーザーのパスワードをリセットします。
  5. 要件に応じてユーザーを再アクティブ化/非アクティブ化します。

1. ユーザーを作成する SAP ハナ- ROLE ADMIN権限を持つデータベースユーザーのみがユーザーとロールを作成できます。 SAP ハナ。

ステップ1) 新しいユーザーを作成するには SAP HANA Studio で、以下に示すようにセキュリティ タブに移動し、次の手順を実行します。

  1. セキュリティノードに移動します。
  2. 「ユーザー」(右クリック) -> 「新規ユーザー」を選択します。

ユーザーを作成する SAP HANA

ステップ2) ユーザー作成画面が表示されます。

  1. ユーザーネームを入力してください。
  2. ユーザーのパスワードを入力します。
  3. これらは認証メカニズムであり、デフォルトではユーザー名/パスワードが認証に使用されます。

ユーザーを作成する SAP HANA

デプロイをクリックすることでユーザーを作成する SAP HANAボタンユーザーが作成されます。

2. ロールの定義と作成

ロールは、他のユーザーまたはロールに付与できる権限の集合です。 このロールには、ジョブの性質に応じて、データベース オブジェクトとアプリケーションに対する権限が含まれます。

これは権限を付与するための標準的なメカニズムです。権限はユーザーに直接付与できます。多くの標準的なロール(例:モデリング、モニタリングなど)が利用可能です。 SAP HANA データベース。

標準ロールを、カスタム ロールを作成するためのテンプレートとして使用できます。

ロールには以下の権限を含めることができます –

  • 管理および開発タスクのシステム権限 (CATALOG READ、AUDIT ADMIN など)
  • データベース オブジェクトのオブジェクト権限 (SELECT、INSERT、DELETE など)
  • 分析権限 SAP HANA情報ビュー
  • リポジトリ パッケージに対するパッケージ権限 (REPO.READ、REPO.EDIT_NATIVE_OBJECTS など)
  • アプリケーション権限 SAP HANA XS アプリケーション。
  • ユーザーの権限 (プロシージャのデバッグ用)。

役割の作成

ステップ1) このステップでは、

  1. セキュリティノードに移動 SAP HANA システム。
  2. [ロール ノード] を選択し (右クリック)、[新しいロール] を選択します。

役割の作成 SAP HANA

ステップ2) ロール作成画面が表示されます。

役割の作成 SAP HANA

  1. 新しい役割ブロックで役割名を指定します。
  2. 「付与された役割」タブを選択し、「+」アイコンをクリックして標準役割または既存の役割を追加します。
  3. 希望する役割を選択します (例: モデリング、モニタリングなど)

ステップ3) このステップでは、

  1. 選択した役割が「付与された役割」タブに追加されます。
  2. システム権限、オブジェクト権限、分析権限、パッケージ権限などを選択することで、権限をユーザーに直接割り当てることができます。
  3. デプロイアイコンをクリックしてロールを作成します。

役割の作成 SAP HANA

このロールを他のユーザーおよびロールに割り当てる場合は、「他のユーザーおよびロールに付与可能」オプションにチェックを入れます。

3. ユーザーに役割を付与する

ステップ1) このステップでは、ロール「MODELLING_VIEW」を別のユーザー「ABHI_TEST」に割り当てます。

  1. セキュリティ ノードの下のユーザー サブノードに移動し、ダブルクリックします。ユーザー ウィンドウが表示されます。
  2. 付与されたロールの「+」アイコンをクリックします。
  3. ポップアップが表示され、ユーザーに割り当てるロール名を検索します。

ユーザーに役割を付与する SAP HANA

ステップ2) この手順では、ロール「MODELLING_VIEW」がロールの下に追加されます。

ユーザーに役割を付与する SAP HANA

ステップ3) このステップでは、

  1. 「デプロイ」ボタンをクリックします。
  2. 「ユーザー 'ABHI_TEST' が変更されました」というメッセージが表示されます。

ユーザーに役割を付与する

4. ユーザーパスワードのリセット

ユーザー パスワードをリセットする必要がある場合は、セキュリティ ノードの下のユーザー サブノードに移動し、ダブルクリックします。ユーザー ウィンドウが表示されます。

ステップ1) このステップでは、

  1. 新しいパスワードを入力してください。
  2. 確認用のパスワードを入力します。

ユーザーパスワードのリセット

ステップ2) このステップでは、

  1. 「デプロイ」ボタンをクリックします。
  2. 「ユーザー 'ABHI_TEST' が変更されました」というメッセージが表示されます。

ユーザーパスワードのリセット SAP HANA

5. ユーザーの再アクティブ化/非アクティブ化

セキュリティ ノードの下のユーザー サブノードに移動し、ダブルクリックします。ユーザー ウィンドウが表示されます。

ユーザーの非アクティブ化アイコンがあります。 クリックして

ユーザーの再アクティブ化/非アクティブ化 SAP HANA

確認メッセージ「ポップアップ」が表示されます。 「はい」ボタンをクリックします。

ユーザーの再アクティブ化/非アクティブ化 SAP HANA

「ユーザー 'ABHI_TEST' が非アクティブ化されました」というメッセージが表示されます。非アクティブ化アイコンが「ユーザーをアクティブ化」という名前に変わります。これで、同じアイコンからユーザーをアクティブ化できます。

SAP HANAライセンス管理

使用するにはライセンスキーが必要です SAP HANAデータベース。ライセンスキーは、 SAP HANAスタジオ、 SAP HANA HDBSQL コマンドライン ツールと HANA SQL クエリ エディター。

SAP HANAデータベースは2種類のライセンスキーをサポートしています –

  • 永久ライセンス キー: 永久ライセンス キーは有効期限まで有効です。 有効期限が切れる前にライセンス キーをリクエストして適用する必要があります。 ライセンス キーの有効期限が切れると、一時ライセンス キーが 28 日間自動的にインストールされます。
  • 一時ライセンスキー: これは新しい SAP HANAデータベースのインストール。90日間有効で、その後は永久キーを申請できます。 SAP.

ライセンス管理の認可

「ライセンス管理者」 ライセンス管理には権限が必要です。

SAP HANA監査

SAP HANA監査機能を使用すると、実行されたアクションを監視および記録できます。 SAP HANA システム。監査ポリシーを作成する前に、この機能をシステムに対して有効にする必要があります。

の認可 SAP HANA監査

「監査管理者」必要なシステム権限 SAP HANA 監査。

製品概要

このチュートリアルでは、次のトピックを学びました。

  • SAP HANA セキュリティの概要。
  • SAP HANA 認証の詳細。
  • SAP HANA 認可の詳細。
  • SAP HANA ユーザー管理方法。
  • SAP HANA ロール管理方法
  • SAP HANA ライセンス管理プロセス。
  • SAP HANA ロール監査プロセス。