Безопасность SAP HANA: полное руководство

Что такое безопасность Sap Hana?

SAP HANA Security защищает важные данные от несанкционированного доступа и гарантирует соответствие стандартов и соответствия стандартам безопасности, принятым в компании.

SAP HANA предоставляет возможность, то есть мультитенантную базу данных, в которой можно создать несколько баз данных в одной системе SAP HANA. Он известен как мультитенантный контейнер базы данных. Таким образом, SAP HANA предоставляет все функции, связанные с безопасностью, для всех контейнеров мультитенантной базы данных.

SAP HANA Предоставьте подпискуwing функция безопасности –

  • Управление пользователями и ролями
  • Авторизация
  • Аутентификация
  • Шифрование данных на уровне сохраняемости
  • Шифрование данных на сетевом уровне

Пользователь и роль SAP HANA

Конфигурация управления пользователями и ролями SAP HANA зависит от archiтекстура, как показано ниже –

  1. 3-Tier Archiтектура.

    SAP HANA можно использовать в качестве реляционной базы данных в трехуровневой системе. Archiтектура.

    В этом archiВ то же время функции безопасности (авторизация, аутентификация, шифрование и аудит) устанавливаются на уровнях сервера приложений.

    Приложение SAP (ERP, BW и т. д.) подключается к базе данных только с помощью технического пользователя или администратора базы данных (Basis Person). Конечный пользователь не может напрямую получить доступ к базе данных или серверу базы данных.

SAP HANA, 3 уровня Archiтекстура

  1. 2-Tier Archiтектура.

    Расширенные службы приложений SAP HANA (SAP HANA XS) основан на 2-уровневом уровне Archiструктура, в которой сервер приложений, веб-сервер и среда разработки встроены в единую систему.

SAP HANA, 2 уровня Archiтекстура

Аутентификация SAP HANA

Пользователь базы данных определяет, кто имеет доступ к базе данных SAP HANA. Это проверяется с помощью процесса под названием «Аутентификация». SAP HANA поддерживает множество методов аутентификации. Единый вход (SSO) используется для интеграции нескольких методов аутентификации.

SAP HANA поддерживает следующиеwing Метод аутентификации -

  • Керберос: Его можно использовать в дальнейшемwing случай -
  • Непосредственно из JDBC и ODBC-клиента (SAP HANA Studio).
  • Когда HTTP используется для доступа к SAP HANA XS.

  • Имя пользователя Пароль Когда пользователь вводит имя пользователя и пароль своей базы данных, база данных SAP HANA аутентифицирует пользователя.

  • Язык разметки утверждений безопасности (SAML)

    SAML может использоваться для аутентификации пользователя SAP HANA, который обращается к базе данных SAP HANA напрямую через ODBC/JDBC. Это процесс сопоставления идентификатора внешнего пользователя с пользователем внутренней базы данных, поэтому пользователь может войти в базу данных SAP с идентификатором внешнего пользователя.

  • Билеты входа и подтверждения SAP

    Пользователь может быть аутентифицирован с помощью билетов входа в систему или билетов утверждений, которые настроены и выданы пользователю для создания билета.

  • Сертификаты клиентов X.509

    При доступе к SAP HANA XS по HTTP для аутентификации пользователя можно использовать сертификаты клиента, подписанные доверенным центром сертификации (CA).

Авторизация SAP HANA

Авторизация SAP HANA требуется, когда пользователь использует клиентский интерфейс (JDBC, ODBC или HTTP) для доступа к базе данных SAP HANA.

В зависимости от полномочий, предоставленных пользователю, он может выполнять операции с базой данных над объектом базы данных. Это разрешение называется «привилегиями».

Привилегии могут быть предоставлены пользователю прямо или косвенно (через роли). Все привилегии, назначенные пользователям, объединены в единое целое.

Когда пользователь пытается получить доступ к любому объекту базы данных SAP HANA, система HANA выполняет проверку авторизации пользователя с помощью ролей пользователя и напрямую предоставляет привилегии.

При обнаружении запрошенных привилегий система HANA пропускает дальнейшие проверки и предоставляет доступ к запросам объектов базы данных.

В SAP HANA следуйтеwing привилегии их –

Типы привилегий Описание
Системные привилегии Он контролирует нормальную деятельность системы. Системные привилегии в основном используются для:

  • Создание и удаление схемы в базе данных SAP HANA
  • Управление пользователем и ролью в базе данных SAP HANA
  • Мониторинг и отслеживание базы данных SAP HANA
  • Выполнение резервных копий данных
  • Лицензия на управление
  • Управляющая версия
  • Управление аудитом
  • Импорт и экспорт контента
  • Ведение единиц доставки
Привилегии объекта Привилегии объекта SQL привилегии, которые используются для предоставления полномочий на чтение и изменение объектов базы данных. Для доступа к объектам базы данных пользователю необходимы объектные привилегии для объектов базы данных или схемы, в которой существует объект базы данных. Объектные привилегии могут быть предоставлены объектам каталога (таблица, представление и т. д.) или объектам, не относящимся к каталогу (объектам разработки).
Привилегии объекта следующие:

  • СОЗДАЙТЕ ЛЮБЫЕ
  • ОБНОВЛЕНИЕ, ВСТАВКА, ВЫБОР, УДАЛЕНИЕ, УДАЛЕНИЕ, ИЗМЕНЕНИЕ, ВЫПОЛНЕНИЕ
  • ИНДЕКС, ТРИГГЕР, ОТЛАДКА, ССЫЛКИ
Аналитические привилегии Аналитические привилегии используются для разрешения доступа на чтение к данным информационной модели SAP HANA (представление атрибутов, аналитическое представление, представление вычислений).

  • Эта привилегия оценивается во время обработки запроса.
  • Аналитические привилегии предоставляют разным пользователям доступ к разным частям данных в
  • То же представление информации в зависимости от роли пользователя.
  • Аналитические привилегии используются в базе данных SAP HANA для предоставления данных на уровне строк.

Управление просмотром данных отдельными пользователями осуществляется в одном представлении.

Привилегии пакета Привилегии пакета используются для предоставления авторизации действий над отдельными пакетами в репозитории SAP HANA.
Привилегии приложения Для доступа к приложению в расширенных службах приложений SAP HANA (SAP HANA XS) требуются привилегии приложения.

Привилегии приложения предоставляются и отзываются с помощью процедур GRANT_APPLICATION_PRIVILEGE и REVOKE_APPLICATION_PRIVILEGE в схеме _SYS_REPO.

Привилегии пользователя Это привилегии SQL, которые пользователь может предоставить своему пользователю. ATTACH DEBUGGER — единственная привилегия, которая может быть предоставлена ​​пользователю.

Администрирование пользователей и управление ролями SAP HANA

Для доступа к базе данных SAP HANA необходимы пользователи. В зависимости от различной политики безопасности в SAP HANA существует два типа пользователей, как показано ниже:

  1. Технический пользователь (пользователь DBA) – Это пользователь, который напрямую работает с базой данных SAP HANA и обладает необходимыми привилегиями. Обычно эти пользователи не удаляются из базы данных.

    Эти пользователи создаются для выполнения административных задач, таких как создание объекта и предоставление привилегий для объекта базы данных или приложения.

    Система баз данных SAP HANA обеспечивает следующиеwing пользователь по умолчанию как стандартный пользователь –

  • СИСТЕМА
  • SYS
  • _SYS_REPO
  1. База данных или реальный пользователь: Каждому пользователю, который хочет работать с базой данных SAP HANA, нужен пользователь базы данных. Пользователь базы данных — реальный человек, работающий в SAP HANA.

    Существует два типа пользователей базы данных, как показано ниже:

Тип пользователя Описание Роль назначена
Стандартный пользователь Этот пользователь может создавать объекты в собственной схеме и читать данные в системных представлениях. Стандартный пользователь, созданный с помощью оператора «CREATE USER». Роль PUBLIC назначается для чтения системных представлений.
Ограниченный пользователь Пользователь с ограниченным доступом не имеет полного доступа к SQL через консоль SQL и создается с помощью инструкции CREATE RESTRICTED USER. Если Привилегии необходимы для использования какого-либо приложения, то они предоставляются через роль.

  • Пользователь с ограниченными правами не может создавать объекты базы данных.
  • Ограниченный пользователь не может просматривать данные в базе данных.
  • Пользователь с ограниченным доступом подключается к базе данных только через HTTP.
  • Доступ ODBC/JDBC для подключения клиента должен быть включен с помощью инструкции SQL.
Роль RESTRICTED_USER_ODBC_ACCESS или RESTRICTED_USER_JDBC_ACCESS, необходимая пользователю для полного доступа к функциям ODBC/JDBC.

Администратор пользователей SAP HANA имеет доступ к следующимwing деятельность -

  1. Создать/удалить пользователя.
  2. Определите и создайте роль.
  3. Предоставить роль пользователю.
  4. Сброс пароля пользователя.
  5. Повторно активируйте/деактивируйте пользователя в соответствии с требованиями.

1. Создайте пользователя в SAP HANA- только пользователь базы данных с правами ROLE ADMIN может создавать пользователя и роль в SAP HANA.

Шаг 1) Чтобы создать нового пользователя в SAP HANA Studio, перейдите на вкладку «Безопасность», как показано ниже, и следуйте инструкциям ниже.wing шаги;

  1. Перейдите к узлу безопасности.
  2. Выберите «Пользователи» (щелкните правой кнопкой мыши) -> «Новый пользователь».

Создать пользователя в SAP HANA

Шаг 2) Появится экран создания пользователя.

  1. Введите имя пользователя.
  2. Введите пароль для пользователя.
  3. Это механизм аутентификации. По умолчанию для аутентификации используется имя пользователя и пароль.

Создать пользователя в SAP HANA

Нажав на развертываниеСоздать пользователя в SAP HANAПользователь кнопки будет создан.

2. Определите и создайте роль

Роль — это набор привилегий, которые можно предоставить другим пользователям или роли. Роль включает в себя привилегии для объектов базы данных и приложений в зависимости от характера задания.

Это стандартный механизм предоставления привилегий. Привилегии могут быть предоставлены непосредственно пользователю. В базе данных SAP HANA доступно множество стандартных ролей (например, МОДЕЛИРОВАНИЕ, МОНИТОРИНГ и т. д.).

Мы можем использовать стандартную роль в качестве шаблона для создания пользовательской роли.

Роль может содержать следующиеwing привилегии –

  • Системные привилегии для задач администрирования и разработки (ЧТЕНИЕ КАТАЛОГА, АУДИТ АДМИНИРОВАНИЕ и т. д.)
  • Объектные привилегии для объектов базы данных (SELECT, INSERT, DELETE и т. д.)
  • Аналитические привилегии для просмотра информации SAP HANA
  • Привилегии пакета для пакетов репозитория (REPO.READ, REPO.EDIT_NATIVE_OBJECTS и т. д.)
  • Привилегии приложений для приложений SAP HANA XS.
  • Привилегии пользователя (Для отладки процедуры).

Создание роли

Шаг 1) На этом этапе

  1. Перейдите к узлу «Безопасность» в системе SAP HANA.
  2. Выберите узел роли (щелкните правой кнопкой мыши) и выберите «Новая роль».

Создание роли в SAP HANA

Шаг 2) Отображается экран создания роли.

Создание роли в SAP HANA

  1. Укажите имя роли в разделе «Новая роль».
  2. Выберите вкладку «Доступная роль» и нажмите значок «+», чтобы добавить стандартную роль или выходную роль.
  3. Выберите желаемую роль (например, МОДЕЛИРОВАНИЕ, МОНИТОРИНГ и т. д.)

Шаг 3) На этом этапе

  1. Выбранная роль добавляется на вкладку «Предоставленные роли».
  2. Привилегии можно назначить пользователю напрямую, выбрав «Системные привилегии», «Привилегии объекта», «Аналитические привилегии», «Привилегии пакета» и т. д.
  3. Нажмите на значок развертывания, чтобы создать роль.

Создание роли в SAP HANA

Отметьте опцию «Предоставить другим пользователям и ролям», если вы хотите назначить эту роль другому пользователю и роли.

3. Предоставьте роль пользователю

Шаг 1) На этом этапе мы назначим роль «MODELLING_VIEW» другому пользователю «ABHI_TEST».

  1. Перейдите в подузел «Пользователь» в разделе «Безопасность» и double щелкните по нему. Появится окно пользователя.
  2. Нажмите значок «+» предоставленных ролей.
  3. Появится всплывающее окно с именем роли поиска, которое будет назначено пользователю.

Предоставление роли пользователю в SAP HANA

Шаг 2) На этом этапе роль «MODELLING_VIEW» будет добавлена ​​в раздел «Роль».

Предоставление роли пользователю в SAP HANA

Шаг 3) На этом этапе

  1. Нажмите кнопку «Развернуть».
  2. Отобразится сообщение «Пользователь «ABHI_TEST» изменен.

Предоставить роль пользователю

4. Сброс пароля пользователя

Если пароль пользователя необходимо сбросить, перейдите в подузел «Пользователь» в узле «Безопасность» и double щелкните по нему. Появится окно пользователя.

Шаг 1) На этом этапе

  1. Введите новый пароль.
  2. Введите Подтвердить пароль.

Сброс пароля пользователя

Шаг 2) На этом этапе

  1. Нажмите кнопку «Развернуть».
  2. Отображается сообщение «Пользователь 'ABHI_TEST» изменен.

Сброс пароля пользователя в SAP HANA

5. Повторная активация/деактивация пользователя.

Перейдите в подузел «Пользователь» в разделе «Безопасность» и double щелкните по нему. Появится окно пользователя.

Имеется значок деактивации пользователя. Нажмите здесь

Повторная активация/деактивация пользователя в SAP HANA

Появится подтверждающее сообщение «Всплывающее окно». Нажмите кнопку «Да».

Повторная активация/деактивация пользователя в SAP HANA

Появится сообщение «Пользователь «ABHI_TEST» деактивирован». Значок деактивации изменится на название «Активировать пользователя». Теперь мы можем активировать пользователя с помощью того же значка.

Управление лицензиями SAP HANA

Для использования базы данных SAP HANA требуется лицензионный ключ. Лицензионный ключ можно установить и удалить с помощью SAP HANA Studio, инструмента командной строки SAP HANA HDBSQL и редактора SQL-запросов HANA.

База данных SAP HANA поддерживает два типа лицензионных ключей:

  • Постоянный лицензионный ключ: Постоянные лицензионные ключи действительны до истечения срока их действия. Нам необходимо запросить и применить лицензионный ключ до истечения срока его действия. Если срок действия лицензионного ключа истекает, временный лицензионный ключ устанавливается автоматически на 28 дней.
  • Временный лицензионный ключ: Он устанавливается автоматически при новой установке базы данных SAP HANA. Он действителен в течение 90 дней и later можете подать заявку на постоянный ключ от SAP.

Авторизация управления лицензиями

«ЛИЦЕНЗИОННЫЙ АДМИН» привилегии необходимы для управления лицензиями.

SAP HANA Аудит

Функции аудита SAP HANA позволяют отслеживать и записывать действия, выполняемые в системе SAP HANA. Эти функции следует активировать для системы перед созданием политики аудита.

Авторизация для аудита SAP HANA

«АУДИТ АДМИН»Системные привилегии, необходимые для аудита SAP HANA.

Итоги

В этом уроке мы узнали следующееwing тема -

  • Обзор безопасности SAP HANA.
  • Подробное описание аутентификации SAP HANA.
  • Подробное описание авторизации SAP HANA.
  • Метод администрирования пользователей SAP HANA.
  • Метод администрирования ролей SAP HANA
  • Процесс управления лицензиями SAP HANA.
  • Процесс аудита ролей SAP HANA.