SAP Securitate HANA: Tutorial complet

Ce este Sap Hana Security?

SAP HANA Security protejează datele importante împotriva accesului neautorizat și se asigură că standardele și conformitatea respectă standardele de securitate adoptate de companie.

SAP HANA oferă o facilitate, adică o bază de date Multitenant, în care mai multe baze de date pot fi create pe un singur SAP Sistemul HANA. Este cunoscut sub numele de container de baze de date multi-tenant. Aşa SAP HANA oferă toate caracteristicile legate de securitate pentru toate containerele de baze de date cu mai mulți locatari.

SAP HANA Furnizați următoarele caracteristici legate de securitate -

• Managementul utilizatorilor și al rolurilor
• Autorizare
• Autentificare
• Criptarea datelor în stratul de persistență
• Criptarea datelor în stratul de rețea

SAP Utilizator și rol HANA

SAP Configurația de gestionare a utilizatorilor și a rolurilor HANA depinde de arhitectura de mai jos -

1. 3 nivele Architectură.

   SAP HANA poate fi utilizat ca bază de date relațională într-un 3-Tier Architectură.

   În această arhitectură, caracteristicile de securitate (autorizare, autentificare, criptare și auditare) sunt instalate pe straturile serverului de aplicații.

   SAP aplicația (ERP, BW, etc.) se conectează la baza de date numai cu ajutorul unui utilizator tehnic sau al administratorului bazei de date (Basis Person). Utilizatorul final nu poate accesa direct baza de date sau serverul bazei de date.

2. 2 nivele Architectură.

   SAP Servicii de aplicații extinse HANA (SAP HANA XS) se bazează pe 2 – Tier Architectură, în care serverul de aplicații, serverul web și mediul de dezvoltare sunt încorporate într-un singur sistem.

SAP Autentificare HANA

Utilizatorul bazei de date identifică cine accesează SAP Baza de date HANA. Este verificată printr-un proces numit „Autentificare”. SAP HANA acceptă multe metode de autentificare. Single Sign-on (SSO) sunt folosite pentru a integra mai multe metode de autentificare.

SAP HANA acceptă următoarea metodă de autentificare -

• Kerberos: Poate fi folosit în următorul caz -
• Direct de la clientul JDBC și ODBC (SAP HANA Studio).

• Când HTTP este folosit pentru a accesa SAP HANA XS.

• Nume utilizator, parola Atunci când utilizatorul introduce numele de utilizator și parola bazei de date, atunci SAP Baza de date HANA autentifică utilizatorul.

• Limbajul de marcare a afirmațiilor de securitate (SAML)

  SAML poate fi folosit pentru autentificare SAP Utilizator HANA, care accesează SAP Baza de date HANA direct prin ODBC/JDBC. Este un proces de mapare a identității utilizatorului extern cu utilizatorul intern al bazei de date, astfel încât utilizatorul se poate autentifica în baza de date sap cu ID-ul utilizatorului extern.

• SAP Bilete de conectare și de afirmare

  Utilizatorul poate fi autentificat prin Logon sau Assertion Tickets, care este configurat și eliberat utilizatorului pentru crearea unui bilet.

• Certificate pentru clienți X.509

  Cand SAP Acces HANA XS prin HTTP, certificatele client semnate de o autoritate de certificare (CA) de încredere pot fi folosite pentru a autentifica utilizatorul.

SAP Autorizație HANA

SAP Autorizarea HANA este necesară atunci când un utilizator care utilizează interfața client (JDBC, ODBC sau HTTP) pentru a accesa SAP Baza de date HANA.

În funcție de autorizația oferită utilizatorului, acesta poate efectua operațiuni de bază de date pe obiectul bazei de date. Această autorizație se numește „privilegii”.

Privilegiile pot fi acordate utilizatorului direct sau indirect (prin roluri). Toate privilegiile atribuite utilizatorilor sunt combinate ca o singură unitate.

Când un utilizator încearcă să acceseze oricare SAP Obiect baza de date HANA, sistemul HANA efectuează verificarea autorizației utilizatorului prin intermediul rolurilor de utilizator și acordă direct privilegiile.

Când se găsesc privilegii solicitate, sistemul HANA omite verificări suplimentare și acordă acces la obiectele de bază de date solicitate.

In SAP Următoarele privilegii HANA sunt lor –

Tipuri de privilegii	Descriere
Privilegiile sistemului	Controlează activitatea normală a sistemului. Privilegiile de sistem sunt utilizate în principal pentru: Crearea și ștergerea schemei în SAP Baza de date HANA Gestionarea utilizatorului și a rolului în SAP Baza de date HANA Monitorizarea și urmărirea SAP Baza de date HANA Efectuarea backup-urilor de date Licență de administrare Versiunea de gestionare Managementul Auditului Importul și exportul de conținut Mentinerea unitatilor de livrare
Privilegii obiect	Privilegiile obiectelor sunt SQL privilegii care sunt folosite pentru a acorda autorizația de a citi și modifica obiectele bazei de date. Pentru a accesa obiectele bazei de date, utilizatorul are nevoie de privilegii asupra obiectelor bazei de date sau asupra schemei în care există obiectul bazei de date. Privilegiile obiectului pot fi acordate obiectelor de catalog (tabel, vizualizare etc.) sau obiectelor non-catalog (obiecte de dezvoltare). Privilegiile obiectelor sunt ca mai jos - CREAȚI ORICE UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE INDEX, TRIGGER, DEBUG, REFERINȚE
Privilegii analitice	Privilegiile analitice sunt folosite pentru a permite accesul la citire la datele de SAP Model de informații HANA (vizualizare atribut, vizualizare analitică, vizualizare calcul). Acest privilegiu este evaluat în timpul procesării interogărilor. Privilegiile analitice acordă acces diferit utilizatorilor la diferite părți ale datelor din Aceeași vizualizare a informațiilor în funcție de rolul utilizatorului. Privilegiile analitice sunt utilizate în SAP Baza de date HANA pentru a furniza date la nivel de rând Controlul pentru utilizatorii individuali pentru a vedea datele este în aceeași vizualizare.
Privilegii de pachet	Privilegiile pachetelor sunt folosite pentru a oferi autorizare pentru acțiunile asupra pachetelor individuale în SAP Depozitul HANA.
Privilegii de aplicație	Privilegiile de aplicare sunt necesare în In SAP Servicii de aplicații extinse HANA (SAP HANA XS) pentru aplicația de acces. Privilegiile aplicației sunt acordate și revocate prin procedurile GRANT_APPLICATION_PRIVILEGE și procedura REVOKE_APPLICATION_PRIVILEGE din schema _SYS_REPO.
Privilegii asupra utilizatorului	Este un privilegiu SQL, care poate fi acordat de către utilizator propriului utilizator. ATACH DEBUGGER este singurul privilegiu care poate fi acordat unui utilizator.

SAP Administrarea utilizatorilor HANA și managementul rolurilor

Pentru a accesa SAP Baza de date HANA, utilizatorii sunt necesari. În funcție de politica de securitate diferită, există două tipuri de utilizatori SAP HANA ca mai jos -

1. Utilizator tehnic (Utilizator DBA) – Este un utilizator cu care lucrează direct SAP Baza de date HANA cu privilegiile necesare. În mod normal, acești utilizatori nu sunt șterși din baza de date.

   Acești utilizatori sunt creați pentru o sarcină administrativă, cum ar fi crearea unui obiect și acordarea de privilegii pe obiectul bazei de date sau pe aplicație.

   SAP Sistemul de baze de date HANA oferă următorul utilizator în mod implicit ca utilizator standard –

• SISTEM
• SYS
• _SYS_REPO

2. Baza de date sau utilizator real: Fiecare utilizator care vrea să lucreze SAP Baza de date HANA, aveți nevoie de un utilizator de bază de date. Utilizatorii bazei de date sunt o persoană reală care lucrează la SAP HANA.

   Există două tipuri de utilizatori ai bazei de date, ca mai jos -

Tip de utilizator	Descriere	Rol atribuit
Utilizator standard	Acest utilizator poate crea obiecte într-o schemă proprie și citește datele în vederi de sistem. Utilizator standard creat cu declarația „CREATE USER”.	Rolul PUBLIC este atribuit vizualizărilor de sistem citite.
Utilizator restricționat	Utilizatorul restricționat nu are acces complet SQL printr-o consolă SQL și creat cu instrucțiunea „CREATE RESTRICTED USER”. Dacă sunt necesare privilegii pentru utilizarea oricărei aplicații, atunci acestea sunt furnizate prin intermediul rolului. Utilizatorul restricționat nu poate crea obiecte de bază de date. Utilizatorul restricționat nu poate vizualiza datele din baza de date. Utilizatorul restricționat se conectează la baza de date numai prin HTTP. Accesul ODBC/JDBC pentru conexiunea client trebuie să fie activat cu instrucțiunea SQL.	Rolul RESTRICTED_USER_ODBC_ACCESS sau RESTRICTED_USER_JDBC_ACCESS este necesar utilizatorului pentru acces complet la funcționalitatea ODBC/JDBC

SAP Administratorul de utilizatori HANA are acces la următoarea activitate –

1. Creați/ștergeți utilizator.
2. Definiți și creați rol.
3. Acordați rol utilizatorului.
4. Resetarea parolei utilizatorului.
5. Reactivați/dezactivați utilizatorul conform cerințelor.

1. Creați utilizator în SAP HANA- numai utilizatorul bazei de date cu privilegii ROLE ADMIN poate crea utilizator și rol în SAP HANA.

Pas 1) Pentru a crea un utilizator nou în SAP HANA Studio accesați fila de securitate așa cum se arată mai jos și urmați pașii următori;

1. Accesați nodul de securitate.
2. Selectați Utilizatori (clic dreapta) -> Utilizator nou.

Pas 2) Apare un ecran de creare a utilizatorului.

1. Introduceti numele de utilizator.
2. Introduceți parola pentru utilizator.
3. Acestea sunt mecanisme de autentificare, în mod implicit, numele de utilizator/parola este folosit pentru autentificare.

Făcând clic pe implementareUtilizatorul butonului va fi creat.

2. Definiți și creați rol

Un rol este o colecție de privilegii care pot fi acordate altor utilizatori sau rol. Rolul include privilegii pentru obiectul bazei de date și aplicația și în funcție de natura jobului.

Este un mecanism standard de acordare a privilegiilor. Privilegiile pot fi acordate direct utilizatorului. Există multe roluri standard (de exemplu, MODELARE, MONITORIZARE etc.) disponibile în SAP Baza de date HANA.

Putem folosi rolul standard ca șablon pentru crearea unui rol personalizat.

Un rol poate conține următoarele privilegii:

• Privilegii de sistem pentru sarcini administrative și de dezvoltare (CITEREA CATALOGULUI, AUDIT ADMIN etc.)
• Privilegii obiect pentru obiectele bazei de date (SELECT, INSERT, DELETE etc.)
• Privilegii analitice pentru SAP Vizualizarea informațiilor HANA
• Privilegii de pachet pe pachetele de depozit (REPO.READ, REPO.EDIT_NATIVE_OBJECTS etc.)
• Privilegii de aplicație pentru SAP Aplicații HANA XS.
• Privilegii asupra utilizatorului (Pentru depanarea procedurii).

Crearea rolului

Pas 1) În această etapă,

1. Accesați Nodul de securitate în SAP Sistemul HANA.
2. Selectați Role Node (clic dreapta) și selectați New Role.

Pas 2) Este afișat un ecran de creare a rolului.

1. Dați numele rolului sub Blocul nou rol.
2. Selectați fila Rol acordat și faceți clic pe pictograma „+” pentru a adăuga un rol standard sau un rol de ieșire.
3. Selectați rolul dorit (de exemplu, MODELARE, MONITORIZAREA etc.)

Pas 3) În această etapă,

1. Rolul selectat este adăugat în fila Roluri acordate.
2. Privilegiile pot fi atribuite utilizatorului direct selectând privilegii sistem, privilegii obiect, privilegii analitice, privilegii pachet etc.
3. Faceți clic pe pictograma de implementare pentru a crea Rol.

Bifați opțiunea „Acordat altor utilizatori și roluri”, dacă doriți să atribuiți acest rol unui alt utilizator și rol.

3. Acordați rol utilizatorului

Pas 1) În acest pas, vom atribui rolul „MODELLING_VIEW” unui alt utilizator „ABHI_TEST”.

1. Accesați sub-nodul utilizator sub Nodul de securitate și faceți dublu clic pe el. Se va afișa fereastra utilizatorului.
2. Faceți clic pe pictograma Roluri acordate „+”.
3. Va apărea o fereastră pop-up, numele rolului de căutare, care va fi atribuit utilizatorului.

Pas 2) În acest pas, rolul „MODELLING_VIEW” va fi adăugat sub Rol.

Pas 3) În această etapă,

1. Faceți clic pe butonul Deploy.
2. Este afișat un mesaj „Utilizator „ABHI_TEST” modificat.

4. Resetarea parolei utilizatorului

Dacă parola utilizatorului trebuie resetata, atunci accesați sub-nodul utilizator sub Nodul de securitate și faceți dublu clic pe el. Se va afișa fereastra utilizatorului.

Pas 1) În această etapă,

1. Introduceți o nouă parolă.
2. Introduceți Confirmați parola.

Pas 2) În această etapă,

1. Faceți clic pe butonul Deploy.
2. Este afișat un mesaj „Utilizator „ABHI_TEST” modificat.

5. Reactivați/dezactivați utilizatorul

Accesați sub-nodul utilizator sub Nodul de securitate și faceți dublu clic pe el. Se va afișa fereastra utilizatorului.

Există pictograma Dezactivare utilizator. Apasa pe el

Va apărea un mesaj de confirmare „Popup”. Faceți clic pe butonul „Da”.

Va fi afișat un mesaj „Utilizator „ABHI_TEST” dezactivat”. Pictograma Dezactivare se schimbă cu numele „Activare utilizator”. Acum putem activa utilizatorul din aceeași pictogramă.

SAP Managementul licențelor HANA

Cheia de licență este necesară pentru utilizare SAP Baza de date HANA. O cheie de licență poate fi instalată și ștearsă folosind SAP HANA Studio, SAP Instrument HANA HDBSQL Command Line și editor HANA SQL Query.

SAP Baza de date HANA acceptă două tipuri de cheie de licență -

• Cheie de licență permanentă: Cheile de licență permanente sunt valabile până la data de expirare. Trebuie să solicităm și să aplicăm cheia de licență înainte de expirare. Dacă cheia de licență expiră, cheia de licență temporară este instalată automat timp de 28 de zile.
• Cheie de licență temporară: Acesta este instalat automat cu un nou SAP Instalarea bazei de date HANA. Este valabil 90 de zile și ulterior se poate aplica pentru Cheia permanentă de la SAP.

Autorizație de gestionare a licențelor

„ADMINITOR LICENȚĂ” sunt necesare privilegii pentru gestionarea licențelor.

SAP Audit HANA

SAP Funcțiile de audit HANA vă permit să monitorizați și să înregistrați acțiunile efectuate în SAP Sistemul HANA. Aceste caracteristici ar trebui să fie activate pentru sistem înainte de a crea politica de audit.

Autorizare pt SAP Audit HANA

„AUDIT ADMIN”Privilegii de sistem necesare pentru SAP Audit HANA.

Rezumat

În acest tutorial, am învățat următorul subiect -

• SAP Prezentare generală a securității HANA.
• SAP Autentificare HANA în detaliu.
• SAP Autorizația HANA în detaliu.
• SAP Metoda de administrare a utilizatorilor HANA.
• SAP Metoda HANA Role Administration
• SAP Procesul de gestionare a licenței HANA.
• SAP Procesul de auditare a rolurilor HANA.