SAP HANA-beveiliging: volledige zelfstudie

Wat is Sap Hana-beveiliging?

SAP HANA Security beschermt belangrijke gegevens tegen ongeoorloofde toegang en zorgt ervoor dat de normen en naleving voldoen aan de beveiligingsnorm die door het bedrijf is aangenomen.

SAP HANA biedt een faciliteit, namelijk een Multitenant-database, waarin meerdere databases op één kunnen worden gemaakt SAP HANA-systeem. Het staat bekend als een multitenant databasecontainer. Dus SAP HANA biedt alle beveiligingsgerelateerde functies voor alle databasecontainers met meerdere tenants.

SAP HANA Biedt de volgende beveiligingsgerelateerde functies:

• Gebruikers- en rollenbeheer
• autorisatie
• authenticatie
• Versleuteling van gegevens in Persistence Layer
• Versleuteling van gegevens in netwerklaag

SAP HANA-gebruiker en -rol

SAP De configuratie van HANA-gebruikers- en rollenbeheer is afhankelijk van de architectuur, zoals hieronder:

1. 3-Tier Archistructuur.

   SAP HANA kan worden gebruikt als relationele database in een 3-Tier Archistructuur.

   In deze architectuur worden beveiligingsfuncties (autorisatie, authenticatie, encryptie en auditing) op applicatieserverlagen geïnstalleerd.

   SAP applicatie (ERP, BW, etc.) maakt alleen verbinding met de database met behulp van een technische gebruiker of databasebeheerder (Basispersoon). De eindgebruiker heeft geen directe toegang tot de database of databaseserver.

2. 2-Tier Archistructuur.

   SAP HANA uitgebreide applicatieservices (SAP HANA XS) is gebaseerd op 2-Tier Architectuur, waarbij Applicatieserver, Webserver en Ontwikkelomgeving in één systeem zijn ingebed.

SAP HANA-authenticatie

Databasegebruiker identificeert wie toegang heeft tot de SAP HANA-database. Het wordt geverifieerd via een proces genaamd ‘Authenticatie’. SAP HANA ondersteunt veel authenticatiemethoden. Single Sign-on (SSO) wordt gebruikt om verschillende authenticatiemethoden te integreren.

SAP HANA ondersteunt de volgende authenticatiemethode:

• Kerberos: Het kan in het volgende geval worden gebruikt:
• Rechtstreeks van JDBC en ODBC Client (SAP HANA Studio).

• Wanneer HTTP wordt gebruikt voor toegang SAP HANA XS.

• Gebruikersnaam wachtwoord Wanneer de gebruiker zijn gebruikersnaam en wachtwoord voor de database invoert, dan SAP HANA Database verifieert de gebruiker.

• Beveiligingsverklaring opmaaktaal (SAML)

  SAML kan worden gebruikt om te authenticeren SAP HANA-gebruiker, die toegang heeft SAP HANA-database rechtstreeks via ODBC/JDBC. Het is een proces van het toewijzen van externe gebruikersidentiteit aan de interne databasegebruiker, zodat de gebruiker kan inloggen in de SAP-database met de externe gebruikers-id.

• SAP Inlog- en bevestigingstickets

  De gebruiker kan worden geverifieerd door middel van aanmeldings- of bevestigingstickets, die worden geconfigureerd en aan de gebruiker worden verstrekt voor het maken van een ticket.

• X.509-clientcertificaten

  . SAP HANA XS Access via HTTP, clientcertificaten ondertekend door een vertrouwde certificeringsinstantie (CA) kunnen worden gebruikt om de gebruiker te authenticeren.

SAP HANA-autorisatie

SAP HANA-autorisatie is vereist wanneer een gebruiker de clientinterface (JDBC, ODBC of HTTP) gebruikt om toegang te krijgen tot de SAP HANA-database.

Afhankelijk van de autorisatie die aan de gebruiker is verstrekt, kan deze databasebewerkingen uitvoeren op het databaseobject. Deze autorisatie wordt "privileges" genoemd.

De Privileges kunnen direct of indirect (via rollen) aan de gebruiker worden toegekend. Alle rechten die aan gebruikers worden toegewezen, worden gecombineerd als één eenheid.

Wanneer een gebruiker toegang probeert te krijgen tot een SAP HANA-databaseobject, HANA-systeem voert autorisatiecontrole uit op de gebruiker via gebruikersrollen en verleent rechtstreeks de bevoegdheden.

Wanneer aangevraagde bevoegdheden worden gevonden, slaat het HANA-systeem verdere controles over en verleent het toegang tot het aanvragen van databaseobjecten.

In SAP De volgende privileges van HANA zijn hun –

Soorten privileges	Beschrijving
Systeemrechten	Het regelt de normale systeemactiviteit. Systeemrechten worden voornamelijk gebruikt voor: Schema maken en verwijderen in SAP HANA-database Gebruiker en rol beheren in SAP HANA-database Monitoring en tracering van SAP HANA-database Het uitvoeren van gegevensback-ups Licentie beheren Versie beheren Beheer van audits Inhoud importeren en exporteren Leveringseenheden onderhouden
Objectrechten	Objectrechten zijn SQL privileges die worden gebruikt om autorisatie te geven voor het lezen en wijzigen van databaseobjecten. Om toegang te krijgen tot databaseobjecten heeft de gebruiker objectrechten nodig voor databaseobjecten of voor het schema waarin het databaseobject bestaat. Objectrechten kunnen worden verleend aan catalogusobjecten (tabel, weergave, etc.) of niet-catalogusobjecten (ontwikkelingsobjecten). Objectrechten zijn zoals hieronder: MAAK WELKE UPDATE, INVOEGEN, SELECTEREN, VERWIJDEREN, DROP, WIJZIGEN, UITVOEREN INDEX, TRIGGER, DEBUG, REFERENTIES
Analytische rechten	Analytische rechten worden gebruikt om leestoegang tot gegevens mogelijk te maken SAP HANA Informatiemodel (attribuutweergave, analytische weergave, berekeningsweergave). Dit recht wordt geëvalueerd tijdens de verwerking van query's. Analytische rechten verlenen verschillende gebruikerstoegang tot verschillende delen van de gegevens in de Dezelfde informatieweergave op basis van gebruikersrol. Analytische rechten worden gebruikt in SAP HANA-database om gegevens op rijniveau te leveren Controle voor individuele gebruikers om de gegevens te zien bevindt zich in dezelfde weergave.
Pakketrechten	Pakketrechten worden gebruikt om autorisatie te verlenen voor acties op individuele pakketten in SAP HANA-opslagplaats.
Toepassingsrechten	Toepassingsrechten zijn vereist in In SAP HANA uitgebreide applicatieservices (SAP HANA XS) voor toegangstoepassing. Toepassingsrechten worden verleend en ingetrokken via de proceduresGRANT_APPLICATION_PRIVILEGE en REVOKE_APPLICATION_PRIVILEGE procedure in het _SYS_REPO schema.
Rechten voor gebruiker	Het zijn SQL-rechten die door de gebruiker aan de eigen gebruiker kunnen worden toegekend. ATTACH DEBUGGER is het enige recht dat aan een gebruiker kan worden verleend.

SAP HANA-gebruikersbeheer en rollenbeheer

Om toegang te krijgen SAP HANA Database, gebruikers zijn vereist. Afhankelijk van het verschillende beveiligingsbeleid zijn er twee soorten gebruikers SAP HANA zoals hieronder –

1. Technische gebruiker (DBA-gebruiker) – Het is een gebruiker waar rechtstreeks mee gewerkt wordt SAP HANA-database met de nodige bevoegdheden. Normaal gesproken worden deze gebruikers niet uit de database verwijderd.

   Deze gebruikers worden gemaakt voor een administratieve taak, zoals het maken van een object en het verlenen van bevoegdheden aan een databaseobject of aan de applicatie.

   SAP Het HANA-databasesysteem biedt de volgende gebruiker standaard als standaardgebruiker:

• SYSTEM
• SYS
• _SYS_REPO

2. Database of echte gebruiker: Elke gebruiker die wil werken SAP HANA-database, heeft een databasegebruiker nodig. Databasegebruiker is een echte persoon die eraan werkt SAP HANA.

   Er zijn twee soorten databasegebruikers, zoals hieronder:

Gebruikerstype	Beschrijving	Rol toegewezen
Standaard gebruiker	Deze gebruiker kan objecten in een eigen schema maken en gegevens in systeemweergaven lezen. Standaardgebruiker gemaakt met de instructie “CREATE USER”.	De PUBLIC-rol wordt toegewezen voor leessysteemweergaven.
Beperkte gebruiker	Beperkte gebruiker heeft geen volledige SQL-toegang via een SQL-console en is gemaakt met de instructie "CREATE RESTRICTED USER". Als er bevoegdheden vereist zijn voor het gebruik van een toepassing, worden deze via de rol verstrekt. Beperkte gebruiker kan geen databaseobjecten maken. Beperkte gebruiker kan geen gegevens in de database bekijken. Beperkte gebruiker maakt alleen via HTTP verbinding met de database. ODBC/JDBC-toegang voor clientverbindingen moet zijn ingeschakeld met een SQL-instructie.	RESTRICTED_USER_ODBC_ACCESS- of RESTRICTED_USER_JDBC_ACCESS-rol vereist voor gebruiker voor volledige toegang tot ODBC/JDBC-functionaliteit

SAP HANA-gebruikersbeheerders hebben toegang tot de volgende activiteit:

1. Gebruiker aanmaken/verwijderen.
2. Rol definiëren en creëren.
3. Rol toekennen aan de gebruiker.
4. Gebruikerswachtwoord opnieuw instellen.
5. Gebruiker opnieuw activeren/deactiveren naar behoefte.

1. Gebruiker aanmaken in SAP HANA- alleen een databasegebruiker met ROLE ADMIN-rechten kan een gebruiker en rol aanmaken SAP HANA.

Stap 1) Om een ​​nieuwe gebruiker aan te maken SAP Ga in HANA Studio naar het tabblad Beveiliging zoals hieronder weergegeven en volg de volgende stappen;

1. Ga naar het beveiligingsknooppunt.
2. Selecteer Gebruikers (klik met de rechtermuisknop) -> Nieuwe gebruiker.

Stap 2) Er verschijnt een scherm voor het aanmaken van een gebruiker.

1. Vul je gebruikersnaam in.
2. Voer het wachtwoord voor de gebruiker in.
3. Dit zijn authenticatiemechanismen, standaard wordt de gebruikersnaam / het wachtwoord gebruikt voor authenticatie.

Door op het implementeren te klikkenEr wordt een knopgebruiker aangemaakt.

2. Rol definiëren en creëren

Een rol is een verzameling rechten die aan andere gebruikers of rollen kunnen worden toegekend. De rol omvat rechten voor databaseobjecten en -applicaties, afhankelijk van de aard van de taak.

Het is een standaardmechanisme om privileges te verlenen. Privileges kunnen rechtstreeks aan de gebruiker worden toegekend. Er zijn veel standaardrollen (bijvoorbeeld MODELLEREN, MONITOREN, etc.) beschikbaar in SAP HANA-database.

We kunnen de standaardrol gebruiken als sjabloon voor het maken van een aangepaste rol.

Een rol kan de volgende rechten bevatten:

• Systeemrechten voor administratieve en ontwikkelingstaken (CATALOG READ, AUDIT ADMIN, etc.)
• Objectrechten voor databaseobjecten (SELECT, INSERT, DELETE, etc.)
• Analytische rechten voor SAP HANA-informatieweergave
• Pakketrechten op repositorypakketten (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
• Applicatierechten voor SAP HANA XS-applicaties.
• Rechten voor de gebruiker (voor foutopsporing van de procedure).

Rolcreatie

Stap 1) In deze stap,

1. Ga naar Beveiligingsknooppunt in SAP HANA-systeem.
2. Selecteer Rolknooppunt (klik met de rechtermuisknop) en selecteer Nieuwe rol.

Stap 2) Er wordt een scherm voor het aanmaken van een rol weergegeven.

1. Geef Rolnaam op onder Nieuw rolblok.
2. Selecteer het tabblad Toegekende rol en klik op het pictogram “+” om een ​​standaardrol of een bestaande rol toe te voegen.
3. Selecteer de gewenste rol (bijv. MODELLEREN, MONITOREN, etc.)

Stap 3) In deze stap,

1. De geselecteerde rol wordt toegevoegd op het tabblad Toegekende rollen.
2. Rechten kunnen rechtstreeks aan de gebruiker worden toegewezen door Systeemrechten, objectrechten, Analytische rechten, Pakketrechten, enz. te selecteren.
3. Klik op het implementatiepictogram om een ​​rol te maken.

Vink de optie “Toewijsbaar aan andere gebruikers en rollen” aan als u deze rol aan een andere gebruiker en rol wilt toewijzen.

3. Rol toekennen aan gebruiker

Stap 1) In deze stap wijzen we de rol “MODELLING_VIEW” toe aan een andere gebruiker “ABHI_TEST”.

1. Ga naar User sub-node onder Security node en dubbelklik erop. User window zal verschijnen.
2. Klik op het pictogram Toegekende rollen “+”.
3. Er verschijnt een pop-up met de naam van de zoekrol die aan de gebruiker wordt toegewezen.

Stap 2) In deze stap wordt de rol “MODELLING_VIEW” toegevoegd onder Rol.

Stap 3) In deze stap,

1. Klik op de knop Implementeren.
2. Er wordt een bericht weergegeven: 'Gebruiker 'ABHI_TEST' is gewijzigd.

4. Gebruikerswachtwoord opnieuw instellen

Als het gebruikerswachtwoord opnieuw moet worden ingesteld, ga dan naar User sub-node onder Security node en dubbelklik erop. Het User-venster wordt weergegeven.

Stap 1) In deze stap,

1. Voer een nieuw wachtwoord in.
2. Voer in Bevestig wachtwoord.

Stap 2) In deze stap,

1. Klik op de knop Implementeren.
2. Er wordt een bericht weergegeven: 'Gebruiker 'ABHI_TEST' is gewijzigd.

5. Gebruiker opnieuw activeren/deactiveren

Ga naar User sub-node onder Security node en dubbelklik erop. User window zal verschijnen.

Er is een pictogram Gebruiker deactiveren. Klik erop

Er verschijnt een bevestigingsbericht “Pop-up”. Klik op de knop 'Ja'.

Er wordt een bericht weergegeven: "Gebruiker 'ABHI_TEST' gedeactiveerd". Het pictogram Deactiveren verandert in de naam "Gebruiker activeren". Nu kunnen we de gebruiker activeren via hetzelfde pictogram.

SAP HANA-licentiebeheer

Voor gebruik is de licentiesleutel vereist SAP HANA-database. Een licentiesleutel kan worden geïnstalleerd en verwijderd met behulp van SAP HANA Studio, SAP HANA HDBSQL-opdrachtregelprogramma en HANA SQL Query-editor.

SAP HANA-database ondersteunt twee soorten licentiesleutels:

• Permanente licentiesleutel: Permanente licentiesleutels zijn geldig tot de vervaldatum. We moeten de licentiesleutel aanvragen en toepassen voordat deze verloopt. Als de licentiesleutel verloopt, wordt de tijdelijke licentiesleutel automatisch gedurende 28 dagen geïnstalleerd.
• Tijdelijke licentiesleutel: Dit wordt automatisch geïnstalleerd met een nieuwe SAP HANA Database Installatie. Geldig voor 90 dagen en later kunt u een aanvraag doen voor een Permanente sleutel van SAP.

Autorisatie van licentiebeheer

“LICENTIEBEHEERDER” Voor Licentiebeheer zijn rechten vereist.

SAP HANA-audit

SAP Met HANA-auditfuncties kunt u de uitgevoerde acties monitoren en vastleggen SAP HANA-systeem. Deze functies moeten voor het systeem worden geactiveerd voordat auditbeleid wordt gemaakt.

Autorisatie voor SAP HANA-audit

“AUDITBEHEERDER”Systeemrechten vereist voor SAP HANA-audit.

Samenvatting

In deze tutorial hebben we het volgende onderwerp geleerd:

• SAP HANA Beveiligingsoverzicht.
• SAP HANA-authenticatie in detail.
• SAP HANA-autorisatie in detail.
• SAP HANA-methode voor gebruikersbeheer.
• SAP HANA-rolbeheermethode
• SAP HANA-licentiebeheerproces.
• SAP HANA-rolauditproces.