SAP Segurança HANA: tutorial completo

O que é segurança Sap Hana?

SAP A HANA Security protege dados importantes contra acesso não autorizado e garante que os padrões e conformidade atendam aos padrões de segurança adotados pela empresa.

SAP HANA fornece um recurso, ou seja, banco de dados multilocatário, no qual vários bancos de dados podem ser criados em um único SAP Sistema HANA. É conhecido como contêiner de banco de dados multilocatário. Então SAP O HANA fornece todos os recursos relacionados à segurança para todos os contêineres de banco de dados multilocatários.

SAP HANA Fornece o seguinte recurso relacionado à segurança –

• Gerenciamento de usuários e funções
• Autorização
• Autenticação
• Criptografia de dados na camada de persistência
• Criptografia de dados na camada de rede

SAP Usuário e função do HANA

SAP A configuração de gerenciamento de usuários e funções do HANA depende da arquitetura conforme abaixo –

1. 3-Tier Archiarquitetura.

   SAP HANA pode ser usado como um banco de dados relacional em um sistema de 3 camadas Archiarquitetura.

   Nesta arquitetura, os recursos de segurança (autorização, autenticação, criptografia e auditoria) são instalados nas camadas do servidor de aplicação.

   SAP aplicação (ERP, BW, etc.) se conecta ao banco de dados somente com a ajuda de um usuário técnico ou administrador de banco de dados (Basis Person). O usuário final não pode acessar diretamente o banco de dados ou o servidor de banco de dados.

2. 2-Tier Archiarquitetura.

   SAP Serviços de aplicativos estendidos HANA (SAP Hana XS) é baseado em 2 –Tier Archiarquitetura, na qual servidor de aplicação, servidor web e ambiente de desenvolvimento estão integrados em um único sistema.

SAP Autenticação HANA

O usuário do banco de dados identifica quem está acessando o SAP Banco de dados HANA. É verificado por meio de um processo denominado “Autenticação”. SAP HANA oferece suporte a muitos métodos de autenticação. Single Sign-on (SSO) é usado para integrar vários métodos de autenticação.

SAP O HANA suporta o seguinte método de autenticação –

• Cérbero: Pode ser usado no seguinte caso -
• Diretamente do cliente JDBC e ODBC (SAP HANA Studio).

• Quando HTTP é usado para acessar SAP Hana XS.

• Usuário senha Quando o usuário insere seu nome de usuário e senha do banco de dados, então SAP O banco de dados HANA autentica o usuário.

• Linguagem de marcação de declaração de segurança (SAML)

  SAML pode ser usado para autenticar SAP Usuário HANA, que está acessando SAP Banco de Dados HANA diretamente por ODBC/JDBC. É um processo de mapeamento de identidade de usuário externo para o usuário do banco de dados interno, para que o usuário possa efetuar login no banco de dados SAP com o ID de usuário externo.

• SAP Tickets de login e declaração

  O usuário pode ser autenticado por Logon ou Assertion Tickets, que são configurados e emitidos ao usuário para criação de um ticket.

• Certificados de clientes X.509

  Quando SAP Acesso HANA XS por HTTP, certificados de cliente assinados por uma autoridade de certificação (CA) confiável podem ser usados ​​para autenticar o usuário.

SAP Autorização HANA

SAP A autorização HANA é necessária quando um usuário usa a interface do cliente (JDBC, ODBC ou HTTP) para acessar o SAP Banco de dados HANA.

Dependendo da autorização fornecida ao usuário, ele poderá realizar operações de banco de dados no objeto de banco de dados. Essa autorização é chamada de “privilégios”.

Os Privilégios podem ser concedidos ao usuário direta ou indiretamente (por meio de funções). Todos os privilégios atribuídos aos usuários são combinados como uma única unidade.

Quando um usuário tenta acessar qualquer SAP Objeto de banco de dados HANA, o sistema HANA executa a verificação de autorização do usuário por meio de funções de usuário e concede privilégios diretamente.

Quando os privilégios solicitados são encontrados, o sistema HANA ignora verificações adicionais e concede acesso para solicitar objetos do banco de dados.

In SAP Os seguintes privilégios do HANA são seus –

Tipos de privilégios	Descrição
Privilégios do sistema	Ele controla a atividade normal do sistema. Os privilégios do sistema são usados ​​​​principalmente para – Criando e excluindo esquema em SAP Banco de dados HANA Gerenciando usuário e função em SAP Banco de dados HANA Monitoramento e rastreamento de SAP Banco de dados HANA Executando backups de dados Licença de gerenciamento Versão de gerenciamento Gerenciando Auditoria Importando e exportando conteúdo Manutenção de unidades de entrega
Privilégios de objeto	Privilégios de objeto são SQL privilégios que são usados ​​para conceder autorização para ler e modificar objetos de banco de dados. Para acessar objetos de banco de dados, o usuário precisa de privilégios de objeto em objetos de banco de dados ou no esquema no qual o objeto de banco de dados existe. Os privilégios de objeto podem ser concedidos a objetos de catálogo (tabela, visualização, etc.) ou objetos não catalogados (objetos de desenvolvimento). Os privilégios de objeto são os seguintes – CRIE QUALQUER ATUALIZAR, INSERIR, SELECIONAR, EXCLUIR, DEIXAR, ALTERAR, EXECUTAR ÍNDICE, TRIGGER, DEBUG, REFERÊNCIAS
Privilégios analíticos	Privilégios analíticos são usados ​​para permitir acesso de leitura em dados de SAP Modelo de informações HANA (visualização de atributos, visualização analítica, visualização de cálculo). Este privilégio é avaliado durante o processamento da consulta. Os Privilégios Analíticos concedem acesso de usuário diferente em diferentes partes dos dados no Mesma visualização de informações com base na função do usuário. Privilégios analíticos são usados ​​em SAP Banco de dados HANA para fornecer dados em nível de linha O controle para usuários individuais verem os dados está na mesma visualização.
Privilégios do pacote	Privilégios de Pacote são usados ​​para fornecer autorização para ações em pacotes individuais em SAP Repositório HANA.
Privilégios de aplicativo	Privilégios de aplicativo são exigidos em In SAP Serviços de aplicativos estendidos HANA (SAP HANA XS) para aplicação de acesso. Os privilégios do aplicativo são concedidos e revogados por meio dos procedimentos GRANT_APPLICATION_PRIVILEGE e REVOKE_APPLICATION_PRIVILEGE no esquema _SYS_REPO.
Privilégios do usuário	É um privilégio SQL, que pode ser concedido pelo próprio usuário. ATTACH DEBUGGER é o único privilégio que pode ser concedido a um usuário.

SAP Administração de usuários e gerenciamento de funções HANA

Acessar SAP Banco de dados HANA, os usuários são obrigatórios. Dependendo da política de segurança diferente, existem dois tipos de usuário em SAP HANA conforme abaixo -

1. Usuário Técnico (Usuário DBA) – É um usuário que trabalha diretamente com SAP Banco de dados HANA com privilégios necessários. Normalmente, esses usuários não são excluídos do banco de dados.

   Esses usuários são criados para uma tarefa administrativa, como criar um objeto e conceder privilégios no objeto de banco de dados ou na aplicação.

   SAP O sistema de banco de dados HANA fornece o seguinte usuário por padrão como usuário padrão:

• SISTEMA
• SYS
• _SYS_REPO

2. Banco de dados ou usuário real: Cada usuário que deseja trabalhar SAP Banco de dados HANA, precisa de um usuário de banco de dados. O usuário do banco de dados é uma pessoa real que trabalha em SAP HANA.

   Existem dois tipos de usuário de banco de dados conforme abaixo –

Tipo de usuário	Descrição	Função atribuída
Usuário comum	Este usuário pode criar objetos em um esquema próprio e ler dados em visualizações do sistema. Usuário padrão criado com a instrução “CREATE USER”.	A função PUBLIC é atribuída para leitura de visualizações do sistema.
Usuário restrito	O usuário restrito não tem acesso SQL completo por meio de um console SQL e é criado com a instrução “CREATE RESTRICTED USER”. Se os privilégios forem necessários para o uso de qualquer aplicativo, eles serão fornecidos por meio da função. O usuário restrito não pode criar objetos de banco de dados. O usuário restrito não pode visualizar dados no banco de dados. O usuário restrito se conecta ao banco de dados somente por meio de HTTP. O acesso ODBC/JDBC para conexão do cliente deve ser habilitado com instrução SQL.	Função RESTRICTED_USER_ODBC_ACCESS ou RESTRICTED_USER_JDBC_ACCESS necessária ao usuário para acesso total à funcionalidade ODBC/JDBC

SAP O administrador do usuário HANA tem acesso às seguintes atividades:

1. Criar/excluir usuário.
2. Definir e criar função.
3. Conceda função ao usuário.
4. Redefinindo a senha do usuário.
5. Reative/desative o usuário de acordo com a necessidade.

1. Crie usuário em SAP HANA- somente o usuário do banco de dados com privilégios ROLE ADMIN pode criar usuário e função em SAP HANA.

Passo 1) Para criar um novo usuário em SAP HANA Studio vá para a aba de segurança conforme mostrado abaixo e siga os seguintes passos;

1. Vá para o nó de segurança.
2. Selecione Usuários (clique com o botão direito) -> Novo usuário.

Passo 2) Uma tela de criação de usuário será exibida.

1. Insira nome de usuário.
2. Digite a senha do usuário.
3. Estes são mecanismos de autenticação, por padrão o nome de usuário/senha é usado para autenticação.

Ao clicar na implantaçãoO usuário do botão será criado.

2. Definir e criar função

Uma função é uma coleção de privilégios que podem ser concedidos a outros usuários ou funções. A função inclui privilégios para objetos e aplicativos de banco de dados, dependendo da natureza do trabalho.

É um mecanismo padrão para conceder privilégios. Os privilégios podem ser concedidos diretamente ao usuário. Existem muitas funções padrão (por exemplo, MODELAGEM, MONITORAMENTO, etc.) disponíveis em SAP Banco de dados HANA.

Podemos usar a função padrão como modelo para criar uma função personalizada.

Uma função pode conter os seguintes privilégios –

• Privilégios de sistema para tarefas administrativas e de desenvolvimento (CATALOG READ, AUDIT ADMIN, etc.)
• Privilégios de objeto para objetos de banco de dados (SELECT, INSERT, DELETE, etc.)
• Privilégios analíticos para SAP Visualização de informações HANA
• Privilégios de pacote em pacotes de repositório (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
• Privilégios de aplicativo para SAP Aplicações HANA XS.
• Privilégios no usuário (para depuração de procedimento).

Criação de função

Passo 1) Nesta etapa,

1. Vá para o nó Segurança em SAP Sistema HANA.
2. Selecione Nó de função (clique com o botão direito) e selecione Nova função.

Passo 2) Uma tela de criação de função é exibida.

1. Dê o nome da função em Novo bloco de funções.
2. Selecione a guia Função concedida e clique no ícone “+” para adicionar função padrão ou sair da função.
3. Selecione a função desejada (por exemplo, MODELAGEM, MONITORAMENTO, etc.)

Passo 3) Nesta etapa,

1. A função selecionada é adicionada na guia Funções concedidas.
2. Os privilégios podem ser atribuídos diretamente ao usuário selecionando Privilégios de Sistema, Privilégios de Objeto, Privilégios Analíticos, Privilégios de Pacote, etc.
3. Clique no ícone de implantação para criar a função.

Marque a opção “Concedível a outros usuários e funções”, se desejar atribuir esta função a outro usuário e função.

3. Conceder função ao usuário

Passo 1) Nesta etapa, atribuiremos a função “MODELLING_VIEW” a outro usuário “ABHI_TEST”.

1. Vá para o subnó Usuário no nó Segurança e clique duas vezes nele. A janela do usuário será exibida.
2. Clique no ícone “+” de funções concedidas.
3. Um pop-up aparecerá, Pesquisar nome da função que será atribuída ao usuário.

Passo 2) Nesta etapa, a função “MODELLING_VIEW” será adicionada em Função.

Passo 3) Nesta etapa,

1. Clique no botão Implantar.
2. Uma mensagem “Usuário 'ABHI_TEST” alterado é exibida.

4. Redefinindo a senha do usuário

Se a senha do usuário precisar ser redefinida, vá para o subnó Usuário no nó Segurança e clique duas vezes nele. A janela do usuário será exibida.

Passo 1) Nesta etapa,

1. Insira a nova senha.
2. Digite Confirmar senha.

Passo 2) Nesta etapa,

1. Clique no botão Implantar.
2. Uma mensagem “Usuário 'ABHI_TEST” alterado é exibida.

5. Reativar/desativar usuário

Vá para o subnó Usuário no nó Segurança e clique duas vezes nele. A janela do usuário será exibida.

Há um ícone Desativar usuário. Clique nisso

Uma mensagem de confirmação “Popup” aparecerá. Clique no botão 'Sim'.

Será exibida a mensagem “Usuário 'ABHI_TEST' desativado”. O ícone Desativar muda com o nome “Ativar usuário”. Agora podemos ativar o usuário a partir do mesmo ícone.

SAP Gerenciamento de licenças HANA

A chave de licença é necessária para usar SAP Banco de dados HANA. Uma chave de licença pode ser instalada e excluída usando SAP Estúdio HANA, SAP Ferramenta de linha de comando HANA HDBSQL e editor de consulta HANA SQL.

SAP O banco de dados HANA suporta dois tipos de chave de licença –

• Chave de licença permanente: As chaves de licença permanentes são válidas até a data de expiração. Precisamos solicitar e aplicar a chave de licença antes de expirar. Se a chave de licença expirar, a Chave de Licença Temporária será instalada automaticamente por 28 dias.
• Chave de licença temporária: Isso é instalado automaticamente com um novo SAP Instalação do banco de dados HANA. É válido por 90 dias e depois pode solicitar a chave permanente de SAP.

Autorização de gerenciamento de licenças

“ADMINISTRADOR DE LICENÇA” privilégios são necessários para o gerenciamento de licenças.

SAP Auditoria HANA

SAP Os recursos de auditoria HANA permitem monitorar e registrar ações executadas em SAP Sistema HANA. Esses recursos devem ser ativados para o sistema antes de criar uma política de auditoria.

Autorização para SAP Auditoria HANA

“ADMINISTRADOR DE AUDITORIA”Privilégios de sistema necessários para SAP Auditoria HANA.

Resumo

Neste tutorial, aprendemos o seguinte tópico –

• SAP Visão geral da segurança do HANA.
• SAP Autenticação HANA em detalhes.
• SAP Autorização HANA em detalhes.
• SAP Método de administração de usuários HANA.
• SAP Método de administração de funções HANA
• SAP Processo de gerenciamento de licença HANA.
• SAP Processo de auditoria de função HANA.