SAP Безопасность HANA: полное руководство
Что такое безопасность Sap Hana?
SAP HANA Security защищает важные данные от несанкционированного доступа и гарантирует, что стандарты и соответствие стандартам безопасности, принятым компанией.
SAP HANA предоставляет возможность, т. е. мультитенантную базу данных, в которой можно создать несколько баз данных на одном сервере. SAP Система Хана. Он известен как мультитенантный контейнер базы данных. Так SAP HANA предоставляет все функции, связанные с безопасностью, для всех контейнеров мультитенантной базы данных.
SAP HANA Предоставьте следующую функцию, связанную с безопасностью:
- Управление пользователями и ролями
- Авторизация
- Аутентификация
- Шифрование данных на уровне сохраняемости
- Шифрование данных на сетевом уровне
SAP Пользователь и роль HANA
SAP Конфигурация управления пользователями и ролями HANA зависит от архитектуры, как показано ниже:
- 3-Tier Archiтектура.
SAP HANA можно использовать как реляционную базу данных в трехуровневой системе. Archiтектура.
В этой архитектуре функции безопасности (авторизация, аутентификация, шифрование и аудит) устанавливаются на уровнях сервера приложений.
SAP приложение (ERP, BW и т.п.) подключается к базе данных только с помощью технического пользователя или администратора базы данных (Basis Person). Конечный пользователь не может напрямую получить доступ к базе данных или серверу базы данных.
- 2-Tier Archiтектура.
SAP Расширенные службы приложений HANA (SAP Хана хз) основан на 2-уровневом уровне Archiструктура, в которой сервер приложений, веб-сервер и среда разработки встроены в единую систему.
SAP Хана-аутентификация
Пользователь базы данных определяет, кто имеет доступ к SAP База данных Хана. Это проверяется с помощью процесса под названием «Аутентификация». SAP HANA поддерживает множество методов аутентификации. Единый вход (SSO) используется для интеграции нескольких методов аутентификации.
SAP HANA поддерживает следующий метод аутентификации:
- Керберос: Его можно использовать в следующем случае –
- Непосредственно из JDBC и ODBC-клиента (SAP HANA Studio).
-
Когда HTTP используется для доступа SAP ХАНА XS.
-
Имя пользователя Пароль Когда пользователь вводит имя пользователя и пароль своей базы данных, тогда SAP База данных HANA аутентифицирует пользователя.
- Язык разметки утверждений безопасности (SAML)
SAML может использоваться для аутентификации SAP Пользователь HANA, который имеет доступ SAP База данных HANA напрямую через ODBC/JDBC. Это процесс сопоставления внешнего идентификатора пользователя с внутренним пользователем базы данных, так что пользователь может войти в базу данных SAP с внешним идентификатором пользователя.
- SAP Билеты входа и подтверждения
Пользователь может быть аутентифицирован с помощью билетов входа в систему или билетов утверждений, которые настроены и выданы пользователю для создания билета.
- Сертификаты клиентов X.509
После появления SAP Доступ к HANA XS по HTTP. Для аутентификации пользователя можно использовать сертификаты клиента, подписанные доверенным центром сертификации (CA).
SAP Авторизация HANA
SAP Авторизация HANA требуется, когда пользователь использует клиентский интерфейс (JDBC, ODBC или HTTP) для доступа к SAP База данных Хана.
В зависимости от полномочий, предоставленных пользователю, он может выполнять операции с базой данных над объектом базы данных. Это разрешение называется «привилегиями».
Привилегии могут быть предоставлены пользователю прямо или косвенно (через роли). Все привилегии, назначенные пользователям, объединены в единое целое.
Когда пользователь пытается получить доступ к любому SAP Объект базы данных HANA. Система HANA выполняет проверку авторизации пользователя с помощью ролей пользователя и напрямую предоставляет привилегии.
При обнаружении запрошенных привилегий система HANA пропускает дальнейшие проверки и предоставляет доступ к запросам объектов базы данных.
In SAP Следующие привилегии HANA – это их:
Типы привилегий | Описание |
---|---|
Системные привилегии | Он контролирует нормальную деятельность системы. Системные привилегии в основном используются для:
|
Привилегии объекта | Привилегии объекта SQL привилегии, которые используются для предоставления полномочий на чтение и изменение объектов базы данных. Для доступа к объектам базы данных пользователю необходимы объектные привилегии для объектов базы данных или схемы, в которой существует объект базы данных. Объектные привилегии могут быть предоставлены объектам каталога (таблица, представление и т. д.) или объектам, не относящимся к каталогу (объектам разработки). Привилегии объекта следующие:
|
Аналитические привилегии | Аналитические привилегии используются для разрешения доступа на чтение данных SAP Информационная модель HANA (представление атрибутов, аналитическое представление, представление вычислений).
Управление просмотром данных отдельными пользователями осуществляется в одном представлении. |
Привилегии пакета | Привилегии пакета используются для предоставления авторизации действий над отдельными пакетами в SAP Репозиторий HANA. |
Привилегии приложения | Привилегии приложения необходимы в In SAP Расширенные службы приложений HANA (SAP HANA XS) для приложения доступа.
Привилегии приложения предоставляются и отзываются с помощью процедур GRANT_APPLICATION_PRIVILEGE и REVOKE_APPLICATION_PRIVILEGE в схеме _SYS_REPO. |
Привилегии пользователя | Это привилегии SQL, которые пользователь может предоставить своему пользователю. ATTACH DEBUGGER — единственная привилегия, которая может быть предоставлена пользователю. |
SAP Администрирование пользователей и управление ролями HANA
Доступ SAP База данных HANA, требуются пользователи. В зависимости от различной политики безопасности в системе существует два типа пользователей. SAP ХАНА, как показано ниже –
-
Технический пользователь (пользователь DBA) – Это пользователь, который напрямую работает с SAP База данных HANA с необходимыми привилегиями. Обычно эти пользователи не удаляются из базы данных.
Эти пользователи создаются для выполнения административных задач, таких как создание объекта и предоставление привилегий для объекта базы данных или приложения.
SAP Система базы данных HANA предоставляет следующего пользователя по умолчанию в качестве стандартного пользователя:
- СИСТЕМА
- SYS
- _SYS_REPO
-
База данных или реальный пользователь: Каждый пользователь, желающий работать над SAP База данных HANA, нужен пользователь базы данных. Пользователь базы данных – это реальный человек, работающий над SAP ХАНА.
Существует два типа пользователей базы данных, как показано ниже:
Тип пользователя | Описание | Роль назначена |
---|---|---|
Стандартный пользователь | Этот пользователь может создавать объекты в собственной схеме и читать данные в системных представлениях. Стандартный пользователь, созданный с помощью оператора «CREATE USER». | Роль PUBLIC назначается для чтения системных представлений. |
Ограниченный пользователь | Пользователь с ограниченным доступом не имеет полного доступа к SQL через консоль SQL и создается с помощью инструкции CREATE RESTRICTED USER. Если Привилегии необходимы для использования какого-либо приложения, то они предоставляются через роль.
|
Роль RESTRICTED_USER_ODBC_ACCESS или RESTRICTED_USER_JDBC_ACCESS, необходимая пользователю для полного доступа к функциям ODBC/JDBC. |
SAP Администратор пользователя HANA имеет доступ к следующим действиям:
- Создать/удалить пользователя.
- Определите и создайте роль.
- Предоставить роль пользователю.
- Сброс пароля пользователя.
- Повторно активируйте/деактивируйте пользователя в соответствии с требованиями.
1. Создать пользователя в SAP ХАНА- только пользователь базы данных с правами ROLE ADMIN может создавать пользователя и роль в SAP ХАНА.
Шаг 1) Чтобы создать нового пользователя в SAP В HANA Studio перейдите на вкладку «Безопасность», как показано ниже, и выполните следующие действия:
- Перейдите к узлу безопасности.
- Выберите «Пользователи» (щелкните правой кнопкой мыши) -> «Новый пользователь».
Шаг 2) Появится экран создания пользователя.
- Введите имя пользователя.
- Введите пароль для пользователя.
- Это механизм аутентификации. По умолчанию для аутентификации используется имя пользователя и пароль.
Нажав на развертываниеПользователь кнопки будет создан.
2. Определите и создайте роль
Роль — это набор привилегий, которые можно предоставить другим пользователям или роли. Роль включает в себя привилегии для объектов базы данных и приложений в зависимости от характера задания.
Это стандартный механизм предоставления привилегий. Привилегии могут быть предоставлены непосредственно пользователю. Существует множество стандартных ролей (например, МОДЕЛИРОВАНИЕ, МОНИТОРИНГ и т. д.), доступных в SAP База данных Хана.
Мы можем использовать стандартную роль в качестве шаблона для создания пользовательской роли.
Роль может содержать следующие привилегии:
- Системные привилегии для задач администрирования и разработки (ЧТЕНИЕ КАТАЛОГА, АУДИТ АДМИНИРОВАНИЕ и т. д.)
- Объектные привилегии для объектов базы данных (SELECT, INSERT, DELETE и т. д.)
- Аналитические привилегии для SAP Просмотр информации HANA
- Привилегии пакета для пакетов репозитория (REPO.READ, REPO.EDIT_NATIVE_OBJECTS и т. д.)
- Привилегии приложений для SAP Приложения HANA XS.
- Привилегии пользователя (Для отладки процедуры).
Создание роли
Шаг 1) На этом этапе
- Перейдите в узел «Безопасность» в SAP Система Хана.
- Выберите узел роли (щелкните правой кнопкой мыши) и выберите «Новая роль».
Шаг 2) Отображается экран создания роли.
- Укажите имя роли в разделе «Новая роль».
- Выберите вкладку «Доступная роль» и нажмите значок «+», чтобы добавить стандартную роль или выходную роль.
- Выберите желаемую роль (например, МОДЕЛИРОВАНИЕ, МОНИТОРИНГ и т. д.)
Шаг 3) На этом этапе
- Выбранная роль добавляется на вкладку «Предоставленные роли».
- Привилегии можно назначить пользователю напрямую, выбрав «Системные привилегии», «Привилегии объекта», «Аналитические привилегии», «Привилегии пакета» и т. д.
- Нажмите на значок развертывания, чтобы создать роль.
Отметьте опцию «Предоставить другим пользователям и ролям», если вы хотите назначить эту роль другому пользователю и роли.
3. Предоставьте роль пользователю
Шаг 1) На этом этапе мы назначим роль «MODELLING_VIEW» другому пользователю «ABHI_TEST».
- Перейдите в подузел «Пользователь» в узле «Безопасность» и дважды щелкните его. Появится окно пользователя.
- Нажмите значок «+» предоставленных ролей.
- Появится всплывающее окно с именем роли поиска, которое будет назначено пользователю.
Шаг 2) На этом этапе роль «MODELLING_VIEW» будет добавлена в раздел «Роль».
Шаг 3) На этом этапе
- Нажмите кнопку «Развернуть».
- Отобразится сообщение «Пользователь «ABHI_TEST» изменен.
4. Сброс пароля пользователя
Если пароль пользователя необходимо сбросить, перейдите в подузел «Пользователь» в узле «Безопасность» и дважды щелкните его. Появится окно пользователя.
Шаг 1) На этом этапе
- Введите новый пароль.
- Введите Подтвердить пароль.
Шаг 2) На этом этапе
- Нажмите кнопку «Развернуть».
- Отображается сообщение «Пользователь 'ABHI_TEST» изменен.
5. Повторная активация/деактивация пользователя.
Перейдите в подузел «Пользователь» в узле «Безопасность» и дважды щелкните его. Появится окно пользователя.
Имеется значок деактивации пользователя. Нажмите здесь
Появится подтверждающее сообщение «Всплывающее окно». Нажмите кнопку «Да».
Появится сообщение «Пользователь «ABHI_TEST» деактивирован». Значок деактивации изменится на название «Активировать пользователя». Теперь мы можем активировать пользователя с помощью того же значка.
SAP Управление лицензиями HANA
Для использования необходим лицензионный ключ SAP База данных Хана. Лицензионный ключ можно установить и удалить с помощью SAP Хана Студия, SAP Инструмент командной строки HANA HDBSQL и редактор SQL-запросов HANA.
SAP База данных HANA поддерживает два типа лицензионных ключей:
- Постоянный лицензионный ключ: Постоянные лицензионные ключи действительны до истечения срока их действия. Нам необходимо запросить и применить лицензионный ключ до истечения срока его действия. Если срок действия лицензионного ключа истекает, временный лицензионный ключ устанавливается автоматически на 28 дней.
- Временный лицензионный ключ: Он автоматически устанавливается вместе с новым SAP Установка базы данных HANA. Действует в течение 90 дней, а затем можно подать заявку на получение постоянного ключа от SAP.
Авторизация управления лицензиями
«ЛИЦЕНЗИОННЫЙ АДМИН» привилегии необходимы для управления лицензиями.
SAP Хана Аудит
SAP Функции аудита HANA позволяют отслеживать и записывать действия, выполняемые в SAP Система Хана. Эти функции следует активировать для системы перед созданием политики аудита.
Разрешение на SAP Хана Аудит
«АУДИТ АДМИН»Системные привилегии, необходимые для SAP Хана Аудит.
Итого
В этом уроке мы изучили следующую тему –
- SAP Обзор безопасности HANA.
- SAP Подробности аутентификации HANA.
- SAP Подробности авторизации HANA.
- SAP Метод администрирования пользователей HANA.
- SAP Метод администрирования ролей HANA
- SAP Процесс управления лицензиями HANA.
- SAP Процесс аудита ролей HANA.