SAP HANA Security: Komplett handledning

By: Mason Garcia Mason Garcia
Hours Uppdaterad

Vad är Sap Hana Security?

SAP HANA Security skyddar viktig data från obehörig åtkomst och säkerställer att standarderna och efterlevnaden uppfyller som säkerhetsstandard som antagits av företaget.

SAP HANA tillhandahåller en facilitet, dvs Multitenant-databas, där flera databaser kan skapas på en enda SAP HANA System. Det är känt som multitenant-databasbehållare. Så SAP HANA tillhandahåller alla säkerhetsrelaterade funktioner för alla multitenant-databasbehållare.

SAP HANA Tillhandahåll följande säkerhetsrelaterade funktion –

  • Användar- och rollhantering
  • Tillstånd
  • Autentisering
  • Kryptering av data i Persistence Layer
  • Kryptering av data i Network Layer

SAP HANA användare och roll

SAP HANA användar- och rollhanteringskonfiguration beror på arkitekturen enligt nedan –

  1. 3-Tier Architecture.

    SAP HANA kan användas som en relationsdatabas i en 3-nivå Architecture.

    I den här arkitekturen är säkerhetsfunktioner (auktorisering, autentisering, kryptering och granskning) installerade på applikationsserverlager.

    SAP applikation (ERP, BW, etc.) ansluter till databasen endast med hjälp av en teknisk användare eller databasadministratör (Basperson). Slutanvändaren kan inte direkt komma åt databas eller databasserver.

SAP HANA 3-nivå Architecture

  1. 2-Tier Architecture.

    SAP HANA Extended Application Services (SAP HANA XS) baseras på 2-Tier Architecture, där applikationsserver, webbserver och utvecklingsmiljö är inbäddade i ett enda system.

SAP HANA 2-nivå Architecture

SAP HANA-autentisering

Databasanvändare identifierar vem som har åtkomst till SAP HANA Databas. Det verifieras genom en process som heter "Autentisering". SAP HANA stöder många autentiseringsmetoder. Single Sign-on (SSO) används för att integrera flera autentiseringsmetoder.

SAP HANA stöder följande autentiseringsmetod –

  • Kerberos: Det kan användas i följande fall -
  • Direkt från JDBC och ODBC Client (SAP HANA Studio).

  • När HTTP används för att komma åt SAP HANA XS.

  • Användarnamn Lösenord När användaren anger sitt användarnamn och lösenord för databasen, då SAP HANA Database autentisera användaren.

  • Security Assertion Markup Language (SAML)

    SAML kan användas för att autentisera SAP HANA-användare, som använder SAP HANA Databas direkt via ODBC/JDBC. Det är en process för att mappa extern användaridentitet till den interna databasanvändaren, så att användaren kan logga in i SAP-databasen med det externa användar-ID:t.

  • SAP Inloggnings- och påståendebiljetter

    Användaren kan autentiseras med inloggnings- eller bekräftelsebiljetter, som konfigureras och utfärdas till användaren för att skapa en biljett.

  • X.509 klientcertifikat

    När SAP HANA XS Access via HTTP, klientcertifikat signerade av en betrodd certifikatutfärdare (CA) kan användas för att autentisera användaren.

SAP HANA auktorisering

SAP HANA-auktorisering krävs när en användare som använder klientgränssnitt (JDBC, ODBC eller HTTP) för att komma åt SAP HANA databas.

Beroende på vilken behörighet som ges till användaren kan den utföra databasoperationer på databasobjektet. Denna auktorisering kallas "privilegier".

Behörigheterna kan beviljas användaren direkt eller indirekt (genom roller). Alla behörigheter som tilldelats användare kombineras som en enda enhet.

När en användare försöker komma åt någon SAP HANA Database-objekt, HANA System utför behörighetskontroll av användaren genom användarroller och ger direkt behörigheterna.

När begärda privilegier hittas, hoppar HANA-systemet över ytterligare kontroller och ger åtkomst till begärande databasobjekt.

In SAP HANA följande privilegier är deras –

Typer av privilegier BESKRIVNING
Systembehörigheter Den kontrollerar normal systemaktivitet. Systemprivilegier används huvudsakligen för –

  • Skapa och ta bort schema i SAP HANA Databas
  • Hantera användare och roll i SAP HANA Databas
  • Övervakning och spårning av SAP HANA databas
  • Utföra säkerhetskopiering av data
  • Hantera licens
  • Hantera version
  • Hantera revision
  • Importera och exportera innehåll
  • Underhålla leveransenheter
Objektprivilegier Objektprivilegier är SQL privilegier som används för att ge behörighet att läsa och ändra databasobjekt. För att komma åt databasobjekt behöver användaren objektprivilegier på databasobjekt eller på schemat där databasobjektet finns. Objektprivilegier kan ges till katalogobjekt (tabell, vy, etc.) eller icke-katalogobjekt (utvecklingsobjekt).
Objektprivilegier är enligt nedan –

  • SKAPA NÅGOT
  • UPPDATERA, INFOGA, VÄLJ, DELETE, SLAPP, ÄNDRA, UTFÖR
  • INDEX, TRIGGER, DEBUG, REFERENSER
Analytiska privilegier Analytiska privilegier används för att tillåta läsåtkomst på data från SAP HANA Informationsmodell (attributvy, analytisk vy, beräkningsvy).

  • Denna behörighet utvärderas under frågebehandlingen.
  • Analytic Privileges ger olika användare åtkomst till olika delar av data i
  • Samma informationsvy baserat på användarroll.
  • Analytiska privilegier används i SAP HANA-databas för att tillhandahålla radnivådata

Kontroll för enskilda användare att se data finns i samma vy.
Paketprivilegier Paketprivilegier används för att ge auktorisering för åtgärder på enskilda paket i SAP HANA Repository.
Applikationsprivilegier Ansökningsrättigheter krävs i In SAP HANA Extended Application Services (SAP HANA XS) för åtkomstapplikation.

Applikationsprivilegier beviljas och återkallas genom procedurernaGRANT_APPLICATION_PRIVILEGE och REVOKE_APPLICATION_PRIVILEGE i schemat _SYS_REPO.
Behörigheter för användare Det är en SQL-privilegier, som kan beviljas av användaren på egen användare. ATTACH DEBUGGER är den enda behörighet som kan ges till en användare.

RELATERADE ARTIKLAR

SAP HANA användaradministration och rollhantering

Få tillgång till SAP HANA Database, användare krävs. Beroende på olika säkerhetspolicyer finns det två typer av användare SAP HANA enligt nedan –

  1. Teknisk användare (DBA-användare) – Det är en användare som direkt arbetar med SAP HANA-databas med nödvändiga privilegier. Normalt tas dessa användare inte bort från databasen.

    Dessa användare skapas för en administrativ uppgift som att skapa ett objekt och bevilja privilegier på databasobjekt eller på applikationen.

    SAP HANA databassystem tillhandahåller följande användare som standard som standardanvändare–

  • SYSTEM
  • SYS
  • _SYS_REPO

  1. Databas eller riktig användare: Varje användare som vill arbeta på SAP HANA-databas, behöver en databasanvändare. Databasanvändare är en riktig person som arbetar på SAP HANA.

    Det finns två typer av databasanvändare enligt nedan –

Användartyp BESKRIVNING Roll tilldelad
Standardanvändare Denna användare kan skapa objekt i ett eget schema och läser data i systemvyer. Standardanvändare skapad med "CREATE USER"-satsen. PUBLIC roll tilldelas för lässystemvyer.
Begränsad användare Begränsad användare har ingen fullständig SQL-åtkomst via en SQL-konsol och skapad med "CREATE RESTRICTED USER"-satsen. Om privilegier krävs för användning av någon applikation, tillhandahålls de genom rollen.

  • Begränsad användare kan inte skapa databasobjekt.
  • Begränsad användare kan inte se data i databasen.
  • Begränsad användare ansluter till databasen endast via HTTP.
  • ODBC/JDBC-åtkomst för klientanslutning måste vara aktiverad med SQL-sats.
 RESTRICTED_USER_ODBC_ACCESS eller RESTRICTED_USER_JDBC_ACCESS roll krävs för användaren för fullständig åtkomst av ODBC/JDBC-funktionalitet

SAP HANA användaradministratör har tillgång till följande aktivitet –

  1. Skapa/ta bort användare.
  2. Definiera och skapa roll.
  3. Bevilja roll till användaren.
  4. Återställ användarlösenord.
  5. Återaktivera / avaktivera användare enligt krav.

1. Skapa användare i SAP HANA- endast databasanvändare med ROLE ADMIN-behörighet kan skapa användare och roll i SAP HANA.

Steg 1) För att skapa ny användare i SAP HANA Studio gå till säkerhetsfliken som visas nedan och följ följande steg;

  1. Gå till säkerhetsnoden.
  2. Välj Användare (högerklicka) -> Ny användare.

Skapa användare i SAP HANA

Steg 2) En skärm för att skapa användare visas.

  1. Skriv in ditt användarnamn.
  2. Ange lösenord för användaren.
  3. Dessa är autentiseringsmekanismer, som standard används användarnamn / lösenord för autentisering.

Skapa användare i SAP HANA

Genom att klicka på distribueraSkapa användare i SAP HANAKnappanvändare kommer att skapas.

2. Definiera och skapa roll

En roll är en samling privilegier som kan ges till andra användare eller roller. Rollen inkluderar privilegier för databasobjekt & applikation och beroende på jobbets karaktär.

Det är en standardmekanism för att bevilja privilegier. Privilegier kan ges direkt till användaren. Det finns många standardroller (t.ex. MODELLERING, ÖVERVAKNING, etc.) tillgängliga i SAP HANA databas.

Vi kan använda standardrollen som en mall för att skapa en anpassad roll.

En roll kan innehålla följande behörigheter –

  • Systemprivilegier för administrativa och utvecklingsuppgifter (KATALOGLÄS, REVISIONADMIN, etc.)
  • Objektprivilegier för databasobjekt (SELECT, INSERT, DELETE, etc.)
  • Analytiska privilegier för SAP HANA informationsvy
  • Paketprivilegier på förvarspaket (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
  • Applikationsprivilegier för SAP HANA XS-applikationer.
  • Behörigheter för användaren (För felsökning av proceduren).

Rollskapande

Steg 1) I detta steg

  1. Gå till Säkerhetsnod in SAP HANA System.
  2. Välj Rollnod (högerklicka) och välj Ny roll.

Rollskapande i SAP HANA

Steg 2) En skärm för att skapa roller visas.

Rollskapande i SAP HANA

  1. Ange rollnamn under Nytt rollblock.
  2. Välj fliken Beviljad roll och klicka på "+"-ikonen för att lägga till standardroll eller avslutande roll.
  3. Välj önskad roll (t.ex. MODELLERING, ÖVERVAKNING, etc.)

Steg 3) I detta steg

  1. Vald roll läggs till på fliken Beviljade roller.
  2. Behörigheter kan tilldelas användaren direkt genom att välja Systemprivilegier, objektprivilegier, Analytiska privilegier, Paketprivilegier, etc.
  3. Klicka på distribuera-ikonen för att skapa roll.

Rollskapande i SAP HANA

Kryssa för alternativet "Beviljas till andra användare och roller", om du vill tilldela denna roll till annan användare och roll.

3. Ge användaren roll

Steg 1) I det här steget kommer vi att tilldela rollen "MODELLING_VIEW" till en annan användare "ABHI_TEST".

  1. Gå till User sub-nod under Security node och dubbelklicka på den. Användarfönstret visas.
  2. Klicka på ikonen för beviljade roller "+".
  3. Ett popup-fönster kommer att visas, sökrollens namn som kommer att tilldelas användaren.

Bevilja roll till användare i SAP HANA

Steg 2) I det här steget kommer rollen "MODELLING_VIEW" att läggas till under Roll.

Bevilja roll till användare i SAP HANA

Steg 3) I detta steg

  1. Klicka på Deploy-knappen.
  2. Ett meddelande "Användare 'ABHI_TEST" ändrad visas.

Ge användaren roll

4. Återställa användarlösenord

Om användarlösenordet behöver återställas, gå sedan till Användarundernod under Säkerhetsnod och dubbelklicka på det. Användarfönstret visas.

Steg 1) I detta steg

  1. Ange nytt lösenord.
  2. Ange Bekräfta lösenord.

Återställ användarlösenord

Steg 2) I detta steg

  1. Klicka på Deploy-knappen.
  2. Ett meddelande "Användare 'ABHI_TEST" ändrad visas.

Återställ användarlösenord in SAP HANA

5. Återaktivera/avaktivera användare

Gå till User sub-nod under Security node och dubbelklicka på den. Användarfönstret visas.

Det finns en ikon för avaktivera användare. Klicka på det

Återaktivera/avaktivera användare i SAP HANA

Ett bekräftelsemeddelande "Popup" visas. Klicka på "Ja"-knappen.

Återaktivera/avaktivera användare i SAP HANA

Ett meddelande "Användare 'ABHI_TEST' avaktiverad" kommer att visas. Avaktiveringsikonen ändras med namnet "Aktivera användare". Nu kan vi aktivera användare från samma ikon.

SAP HANA Licenshantering

Licensnyckeln krävs för att använda SAP HANA Databas. En licensnyckel kan installeras och raderas med hjälp av SAP HANA Studio, SAP HANA HDBSQL kommandoradsverktyg och HANA SQL Query editor.

SAP HANA-databas stöder två typer av licensnyckel –

  • Permanent licensnyckel: Permanenta licensnycklar är giltiga till utgångsdatum. Vi måste begära och använda licensnyckeln innan den löper ut. Om licensnyckeln löper ut installeras den tillfälliga licensnyckeln automatiskt i 28 dagar.
  • Tillfällig licensnyckel: Detta installeras automatiskt med en ny SAP HANA Databasinstallation. Den är giltig i 90 dagar och senare kan ansökas om Permanent nyckel från SAP.

Auktorisering av licenshantering

"LICENSADMIN" privilegier krävs för licenshantering.

SAP HANA revision

SAP HANA Auditing-funktioner låter dig övervaka och registrera åtgärder som utförs i SAP HANA System. Denna funktion bör aktiveras för systemet innan revisionspolicy skapas.

Behörighet för SAP HANA revision

"REVISION ADMIN"Systemrättigheter krävs för SAP HANA revision.

Sammanfattning

I den här handledningen har vi lärt oss följande ämne -

  • SAP HANA Säkerhetsöversikt.
  • SAP HANA-autentisering i detalj.
  • SAP HANA-auktorisering i detalj.
  • SAP HANA Användaradministrationsmetod.
  • SAP HANA rolladministrationsmetod
  • SAP HANA licenshanteringsprocess.
  • SAP HANA rollrevisionsprocess.