SAP Bezpieczeństwo HANA: kompletny samouczek

Przez: Masona Garcii Masona Garcii
Hours Zaktualizowano

Czym jest bezpieczeństwo Sap Hana?

SAP HANA Security chroni ważne dane przed nieuprawnionym dostępem i dba o to, aby standardy i zgodność spełniały przyjęte przez firmę standardy bezpieczeństwa.

SAP HANA udostępnia funkcję tzw. bazy danych Multitenant, w której można utworzyć wiele baz danych na jednej SAP systemu HANA. Nazywa się go wielodostępnym kontenerem bazy danych. Więc SAP HANA zapewnia wszystkie funkcje związane z bezpieczeństwem dla wszystkich wielodostępnych kontenerów baz danych.

SAP HANA Zapewnij następującą funkcję związaną z bezpieczeństwem –

  • Zarządzanie użytkownikami i rolami
  • Autoryzacja
  • Uwierzytelnianie
  • Szyfrowanie danych w warstwie trwałości
  • Szyfrowanie danych w warstwie sieciowej

SAP Użytkownik i rola platformy HANA

SAP Konfiguracja zarządzania użytkownikami i rolami HANA zależy od architektury, jak poniżej –

  1. 3-Tier Architektura.

    SAP HANA może być używana jako relacyjna baza danych w środowisku 3-warstwowym Architektura.

    W tej architekturze funkcje bezpieczeństwa (autoryzacja, uwierzytelnianie, szyfrowanie i audyt) są instalowane na warstwach serwera aplikacji.

    SAP aplikacja (ERP, BW, itp.) łączy się z bazą danych tylko przy pomocy użytkownika technicznego lub administratora bazy danych (Basis Person). Użytkownik końcowy nie może uzyskać bezpośredniego dostępu do bazy danych ani serwera bazy danych.

SAP HANA 3-poziomowa Architektura

  1. 2-Tier Architektura.

    SAP Rozszerzone usługi aplikacyjne HANA (SAP HANA XS) opiera się na 2 –Tier Architecture, w której serwer aplikacji, serwer WWW i środowisko programistyczne są osadzone w jednym systemie.

SAP HANA 2-poziomowa Architektura

SAP Uwierzytelnianie HANA

Użytkownik bazy danych identyfikuje, kto uzyskuje dostęp do SAP Baza danych HANA. Jest to weryfikowane poprzez proces o nazwie „Uwierzytelnianie”. SAP HANA obsługuje wiele metod uwierzytelniania. Pojedyncze logowanie (SSO) służy do integracji kilku metod uwierzytelniania.

SAP HANA obsługuje następującą metodę uwierzytelniania –

  • Kerberos: Można go użyć w następującym przypadku –
  • Bezpośrednio z klienta JDBC i ODBC (SAP Studio HANA).

  • Kiedy do uzyskania dostępu używany jest protokół HTTP SAP HANA XS.

  • Nazwa użytkownika Hasło Gdy użytkownik wprowadzi nazwę użytkownika i hasło do swojej bazy danych, wówczas SAP Baza danych HANA uwierzytelnia użytkownika.

  • Język znaczników potwierdzenia zabezpieczeń (SAML)

    SAML można wykorzystać do uwierzytelnienia SAP Użytkownik HANA, który uzyskuje dostęp SAP Baza danych HANA bezpośrednio przez ODBC/JDBC. Jest to proces mapowania zewnętrznej tożsamości użytkownika na wewnętrznego użytkownika bazy danych, dzięki czemu użytkownik może się zalogować do bazy danych SAP za pomocą zewnętrznego identyfikatora użytkownika.

  • SAP Bilety logowania i asercji

    Użytkownik może zostać uwierzytelniony za pomocą biletów logowania lub potwierdzeń, które są konfigurowane i wydawane użytkownikowi w celu utworzenia biletu.

  • Certyfikaty klientów X.509

    Kiedy SAP HANA XS Dostęp przez HTTP, certyfikaty klienta podpisane przez zaufany urząd certyfikacji (CA) mogą służyć do uwierzytelniania użytkownika.

SAP Autoryzacja HANA

SAP Autoryzacja HANA jest wymagana, gdy użytkownik korzystający z interfejsu klienta (JDBC, ODBC lub HTTP) w celu uzyskania dostępu do SAP baza danych HANA.

W zależności od autoryzacji udzielonej użytkownikowi, może on wykonywać operacje bazodanowe na obiekcie bazy danych. Ta autoryzacja nazywana jest „uprawnieniami”.

Przywileje mogą być nadawane użytkownikowi bezpośrednio lub pośrednio (poprzez role). Wszystkie uprawnienia przypisane użytkownikom są łączone w jedną całość.

Gdy użytkownik próbuje uzyskać dostęp do dowolnego SAP Obiekt bazy danych HANA, system HANA sprawdza autoryzację użytkownika poprzez role użytkowników i bezpośrednio przyznaje uprawnienia.

Po znalezieniu uprawnień na żądanie system HANA pomija dalsze kontrole i udziela dostępu do obiektów bazy danych żądań.

In SAP HANA ma następujące uprawnienia:

Typy uprawnień Opisy Konstrukcyjne
Uprawnienia systemowe Kontroluje normalną aktywność systemu. Uprawnienia systemowe są wykorzystywane głównie do –

  • Tworzenie i usuwanie schematu w SAP Baza danych HANA
  • Zarządzanie użytkownikami i rolami w SAP Baza danych HANA
  • Monitorowanie i śledzenie SAP baza danych HANA
  • Wykonywanie kopii zapasowych danych
  • Zarządzanie licencją
  • Wersja zarządzająca
  • Audyt Zarządzający
  • Importowanie i eksportowanie treści
  • Utrzymanie jednostek dostawczych
Uprawnienia obiektu Przywileje obiektu są SQL uprawnienia używane do nadawania uprawnień do odczytu i modyfikowania obiektów bazy danych. Aby uzyskać dostęp do obiektów bazy danych, użytkownik potrzebuje uprawnień obiektowych do obiektów bazy danych lub do schematu, w którym obiekt bazy danych istnieje. Uprawnienia obiektowe można nadawać obiektom katalogowym (tabela, widok itp.) lub obiektom niekatalogowym (obiekty deweloperskie).
Uprawnienia obiektu są następujące –

  • STWÓRZ DOWOLNE
  • AKTUALIZUJ, WSTAW, WYBIERZ, USUŃ, UPUŚĆ, ZMIEŃ, WYKONAJ
  • INDEKS, WYZWALACZ, DEBUGOWANIE, REFERENCJE
Przywileje analityczne Uprawnienia analityczne umożliwiają dostęp do odczytu danych SAP Model informacyjny HANA (widok atrybutów, widok analityczny, widok obliczeń).

  • To uprawnienie jest oceniane podczas przetwarzania zapytania.
  • Uprawnienia analityczne zapewniają różnym użytkownikom dostęp do różnych części danych w pliku
  • Ten sam widok informacji w zależności od roli użytkownika.
  • Uprawnienia analityczne są używane w SAP Baza danych HANA zapewniająca dane na poziomie wiersza

Kontrola dostępu poszczególnych użytkowników do danych odbywa się w tym samym widoku.
Przywileje pakietu Uprawnienia pakietów służą do autoryzacji działań na poszczególnych pakietach w SAP Repozytorium HANA.
Uprawnienia aplikacji W In. wymagane są uprawnienia aplikacji SAP Rozszerzone usługi aplikacyjne HANA (SAP HANA XS) dla aplikacji dostępowej.

Uprawnienia aplikacji nadawane i odbierane są poprzez proceduryGRANT_APPLICATION_PRIVILEGE i REVOKE_APPLICATION_PRIVILEGE w schemacie _SYS_REPO.
Uprawnienia użytkownika Są to uprawnienia SQL, które użytkownik może przyznać własnemu użytkownikowi. ATTACH DEBUGGER to jedyne uprawnienie, jakie można nadać użytkownikowi.

POWIĄZANE ARTYKUŁY

SAP Administracja użytkownikami HANA i zarządzanie rolami

Aby uzyskać dostęp SAP Baza danych HANA, wymagani są użytkownicy. W zależności od innej polityki bezpieczeństwa istnieją dwa typy użytkowników SAP HANA jak poniżej –

  1. Użytkownik techniczny (użytkownik DBA) – Jest to użytkownik, z którym bezpośrednio współpracujesz SAP Baza danych HANA z niezbędnymi uprawnieniami. Zwykle ci użytkownicy nie są usuwani z bazy danych.

    Użytkownicy ci są tworzeni do zadań administracyjnych, takich jak tworzenie obiektu i nadawanie uprawnień do obiektu bazy danych lub aplikacji.

    SAP System baz danych HANA domyślnie udostępnia następującego użytkownika jako użytkownika standardowego –

  • SYSTEM
  • SYS
  • _SYS_REPO

  1. Baza danych lub prawdziwy użytkownik: Każdy użytkownik chcący popracować SAP Baza danych HANA, potrzebny jest użytkownik bazy danych. Użytkownik bazy danych to realna osoba, na której pracuje SAP HANA.

    Istnieją dwa typy użytkowników bazy danych, jak poniżej –

Typ użytkownika Opisy Konstrukcyjne Rola przypisana
Typowy użytkownik Użytkownik ten może tworzyć obiekty we własnym schemacie i odczytywać dane w widokach systemowych. Standardowy użytkownik utworzony za pomocą instrukcji „CREATE USER”. Rola PUBLIC jest przypisana do odczytu widoków systemowych.
Użytkownik z ograniczeniami Użytkownik z ograniczeniami nie ma pełnego dostępu do SQL za pośrednictwem konsoli SQL i został utworzony za pomocą instrukcji „CREATE RESTRICTED USER”. Jeśli do korzystania z dowolnej aplikacji wymagane są uprawnienia, są one nadawane poprzez rolę.

  • Użytkownik z ograniczeniami nie może tworzyć obiektów bazy danych.
  • Użytkownik z ograniczeniami nie może przeglądać danych w bazie danych.
  • Użytkownik z ograniczeniami łączy się z bazą danych wyłącznie za pośrednictwem protokołu HTTP.
  • Dostęp ODBC/JDBC dla połączenia klienta musi być włączony za pomocą instrukcji SQL.
 Rola RESTRICTED_USER_ODBC_ACCESS lub RESTRICTED_USER_JDBC_ACCESS wymagana od użytkownika w celu uzyskania pełnego dostępu do funkcjonalności ODBC/JDBC

SAP Administratorzy użytkowników HANA mają dostęp do następującej aktywności –

  1. Utwórz/usuń użytkownika.
  2. Zdefiniuj i utwórz rolę.
  3. Nadaj rolę użytkownikowi.
  4. Resetowanie hasła użytkownika.
  5. Ponowna aktywacja/dezaktywacja użytkownika zgodnie z wymaganiami.

1. Utwórz użytkownika w SAP HANA- Tylko użytkownik bazy danych z uprawnieniami ROLE ADMIN może tworzyć użytkownika i rolę SAP HANA.

Krok 1) Aby utworzyć nowego użytkownika w SAP W HANA Studio przejdź do zakładki Zabezpieczenia, jak pokazano poniżej, i wykonaj następujące kroki:

  1. Przejdź do węzła zabezpieczeń.
  2. Wybierz Użytkownicy (kliknij prawym przyciskiem myszy) -> Nowy użytkownik.

Utwórz użytkownika w SAP HANA

Krok 2) Pojawi się ekran tworzenia użytkownika.

  1. Wpisz nazwę użytkownika.
  2. Wprowadź hasło użytkownika.
  3. Są to mechanizmy uwierzytelniania, domyślnie do uwierzytelnienia używana jest nazwa użytkownika/hasło.

Utwórz użytkownika w SAP HANA

Klikając na wdrożenieUtwórz użytkownika w SAP HANAUżytkownik przycisku zostanie utworzony.

2. Zdefiniuj i utwórz rolę

Rola to zbiór uprawnień, które można przyznać innym użytkownikom lub innym rolom. Rola obejmuje uprawnienia do obiektu bazy danych i aplikacji, w zależności od charakteru zadania.

Jest to standardowy mechanizm nadawania uprawnień. Uprawnienia można nadawać bezpośrednio użytkownikowi. W programie dostępnych jest wiele standardowych ról (np. MODELOWANIE, MONITOROWANIE itp.). SAP baza danych HANA.

Rolę standardową możemy wykorzystać jako szablon do stworzenia roli niestandardowej.

Rola może zawierać następujące uprawnienia –

  • Uprawnienia systemowe do zadań administracyjnych i programistycznych (CZYTANIE KATALOGU, AUDIT ADMIN itp.)
  • Uprawnienia obiektów dla obiektów bazy danych (SELECT, INSERT, DELETE itp.)
  • Uprawnienia analityczne dla SAP Widok informacji HANA
  • Uprawnienia pakietów w pakietach repozytoriów (REPO.READ, REPO.EDIT_NATIVE_OBJECTS itp.)
  • Uprawnienia aplikacji dla SAP Aplikacje HANA XS.
  • Uprawnienia użytkownika (do debugowania procedury).

Tworzenie roli

Krok 1) W tym etapie,

  1. Przejdź do węzła zabezpieczeń w SAP systemu HANA.
  2. Wybierz węzeł roli (kliknij prawym przyciskiem myszy) i wybierz opcję Nowa rola.

Tworzenie roli w SAP HANA

Krok 2) Wyświetla się ekran tworzenia roli.

Tworzenie roli w SAP HANA

  1. Podaj nazwę roli w obszarze Nowy blok roli.
  2. Wybierz zakładkę Przyznana rola i kliknij ikonę „+”, aby dodać rolę standardową lub opuszczającą rolę.
  3. Wybierz pożądaną rolę (np. MODELOWANIE, MONITOROWANIE itp.)

Krok 3) W tym etapie,

  1. Wybrana rola zostanie dodana w zakładce Przyznane role.
  2. Uprawnienia można przypisać użytkownikowi bezpośrednio poprzez wybranie Uprawnień systemowych, Uprawnień obiektów, Uprawnień analitycznych, Uprawnień pakietowych itp.
  3. Kliknij ikonę wdrażania, aby utworzyć rolę.

Tworzenie roli w SAP HANA

Zaznacz opcję „Można przyznać innym użytkownikom i rolom”, jeśli chcesz przypisać tę rolę innemu użytkownikowi i roli.

3. Przydziel rolę użytkownikowi

Krok 1) W tym kroku przypiszemy rolę „MODELLING_VIEW” innemu użytkownikowi „ABHI_TEST”.

  1. Przejdź do podwęzła użytkownika w węźle Security i kliknij go dwukrotnie. Wyświetli się okno użytkownika.
  2. Kliknij ikonę Przyznane role „+”.
  3. Pojawi się wyskakujące okienko Wyszukaj nazwę roli, która zostanie przypisana użytkownikowi.

Przyznaj rolę użytkownikowi w SAP HANA

Krok 2) W tym kroku w obszarze Rola zostanie dodana rola „MODELLING_VIEW”.

Przyznaj rolę użytkownikowi w SAP HANA

Krok 3) W tym etapie,

  1. Kliknij przycisk Wdróż.
  2. Wyświetla się komunikat „Użytkownik „ABHI_TEST” został zmieniony”.

Przydziel rolę użytkownikowi

4. Resetowanie hasła użytkownika

Jeśli hasło użytkownika wymaga zresetowania, przejdź do podwęzła użytkownika w węźle Security i kliknij go dwukrotnie. Wyświetli się okno użytkownika.

Krok 1) W tym etapie,

  1. Wprowadź nowe hasło.
  2. Wprowadź Potwierdź hasło.

Resetowanie hasła użytkownika

Krok 2) W tym etapie,

  1. Kliknij przycisk Wdróż.
  2. Wyświetla się komunikat „Użytkownik „ABHI_TEST” został zmieniony”.

Resetowanie hasła użytkownika w SAP HANA

5. Ponowna aktywacja/dezaktywacja użytkownika

Przejdź do podwęzła użytkownika w węźle Security i kliknij go dwukrotnie. Wyświetli się okno użytkownika.

Dostępna jest ikona Dezaktywuj użytkownika. Kliknij na to

Ponowna aktywacja/dezaktywacja użytkownika w SAP HANA

Pojawi się komunikat potwierdzający „Popup”. Kliknij przycisk „Tak”.

Ponowna aktywacja/dezaktywacja użytkownika w SAP HANA

Wyświetli się komunikat „Użytkownik 'ABHI_TEST' dezaktywowany”. Ikona De-Activate zmieni nazwę na „Activate user”. Teraz możemy aktywować użytkownika z tej samej ikony.

SAP Zarządzanie licencjami HANA

Do użycia wymagany jest klucz licencyjny SAP Baza danych HANA. Klucz licencyjny można zainstalować i usunąć za pomocą SAP Studio HANA, SAP Narzędzie wiersza poleceń HANA HDBSQL i edytor zapytań SQL HANA.

SAP Baza danych HANA obsługuje dwa typy kluczy licencyjnych –

  • Stały klucz licencyjny: Stałe klucze licencyjne są ważne do daty wygaśnięcia. Musimy poprosić o klucz licencyjny i zastosować go przed wygaśnięciem. Jeśli klucz licencyjny wygaśnie, tymczasowy klucz licencyjny zostanie automatycznie zainstalowany na 28 dni.
  • Tymczasowy klucz licencyjny: Jest to automatycznie instalowane z nowym SAP Instalacja bazy danych HANA. Jest ważna przez 90 dni, a później można ubiegać się o klucz stały od SAP.

Autoryzacja zarządzania licencjami

„ADMINISTRATOR LICENCJI” Do zarządzania licencjami wymagane są uprawnienia.

SAP Audyt HANA

SAP Funkcje HANA Auditing pozwalają monitorować i rejestrować działania wykonywane w SAP systemu HANA. Funkcjonalność tę należy aktywować w systemie przed utworzeniem polityki audytu.

Autoryzacja dla SAP Audyt HANA

„Administrator audytu”Uprawnienia systemowe wymagane dla SAP Audyt HANA.

Podsumowanie

W tym samouczku poznaliśmy następujący temat –

  • SAP Omówienie zabezpieczeń HANA.
  • SAP Uwierzytelnianie HANA szczegółowo.
  • SAP Szczegółowa autoryzacja HANA.
  • SAP Metoda administrowania użytkownikami HANA.
  • SAP Metoda administrowania rolą HANA
  • SAP Proces zarządzania licencjami HANA.
  • SAP Proces audytu roli HANA.