SAP การรักษาความปลอดภัย HANA: บทช่วยสอนที่สมบูรณ์
Sap Hana Security คืออะไร?
SAP HANA Security ปกป้องข้อมูลสำคัญจากการเข้าถึงโดยไม่ได้รับอนุญาต และรับรองว่ามาตรฐานและการปฏิบัติตามเป็นไปตามมาตรฐานความปลอดภัยที่บริษัทกำหนด
SAP HANA มีสิ่งอำนวยความสะดวก เช่น ฐานข้อมูลผู้เช่าหลายราย ซึ่งสามารถสร้างฐานข้อมูลหลายรายการบนระบบเดียวได้ SAP ระบบ HANA เป็นที่รู้จักกันในชื่อคอนเทนเนอร์ฐานข้อมูลแบบผู้เช่าหลายราย ดังนั้น SAP HANA นำเสนอฟีเจอร์ที่เกี่ยวข้องกับความปลอดภัยทั้งหมดสำหรับคอนเทนเนอร์ฐานข้อมูลผู้เช่าหลายราย
SAP HANA ให้คุณสมบัติที่เกี่ยวข้องกับความปลอดภัยดังต่อไปนี้ –
- การจัดการผู้ใช้และบทบาท
- การอนุญาต
- การยืนยันตัวตน
- การเข้ารหัสข้อมูลใน Persistence Layer
- การเข้ารหัสข้อมูลใน Network Layer
SAP ผู้ใช้และบทบาท HANA
SAP การกำหนดค่าการจัดการผู้ใช้และบทบาทของ HANA ขึ้นอยู่กับสถาปัตยกรรมดังต่อไปนี้
- 3 ชั้น Archiเทคเจอร์
SAP HANA สามารถใช้เป็นฐานข้อมูลเชิงสัมพันธ์แบบ 3 ชั้นได้ Archiเทคเจอร์
ในสถาปัตยกรรมนี้ คุณลักษณะด้านความปลอดภัย (การอนุญาต การรับรองความถูกต้อง การเข้ารหัส และการตรวจสอบ) จะได้รับการติดตั้งบนเลเยอร์เซิร์ฟเวอร์แอปพลิเคชัน
SAP แอปพลิเคชัน (ERP, BW เป็นต้น) จะเชื่อมต่อกับฐานข้อมูลได้ก็ต่อเมื่อได้รับความช่วยเหลือจากผู้ใช้ด้านเทคนิคหรือผู้ดูแลระบบฐานข้อมูล (Basis Person) เท่านั้น ผู้ใช้ปลายทางไม่สามารถเข้าถึงฐานข้อมูลหรือเซิร์ฟเวอร์ฐานข้อมูลได้โดยตรง
- 2 ชั้น Archiเทคเจอร์
SAP บริการแอพพลิเคชั่นเพิ่มเติมของ HANA (SAP ฮานะ XS) ขึ้นอยู่กับ 2 –Tier Archiเทคโนโลยีที่รวม Application server, Web Server และ Development Environment ไว้ในระบบเดียว
SAP การรับรองความถูกต้องของ HANA
ผู้ใช้ฐานข้อมูลระบุว่าใครกำลังเข้าถึง SAP ฐานข้อมูล HANA ได้รับการตรวจสอบผ่านกระบวนการที่เรียกว่า “การรับรองความถูกต้อง” SAP HANA รองรับวิธีการยืนยันตัวตนหลายวิธี Single Sign-on (SSO) ใช้เพื่อรวมวิธีการยืนยันตัวตนหลายวิธีเข้าด้วยกัน
SAP HANA รองรับวิธีการยืนยันตัวตนดังต่อไปนี้
- เคอร์เบรอส: สามารถใช้ได้ในกรณีต่อไปนี้ –
- โดยตรงจากไคลเอนต์ JDBC และ ODBC (SAP ฮานะ สตูดิโอ).
-
เมื่อมีการใช้ HTTP เพื่อเข้าถึง SAP ฮานะ เอ็กซ์เอส
-
ชื่อผู้ใช้รหัสผ่าน เมื่อผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่านฐานข้อมูลของตนแล้ว SAP ฐานข้อมูล HANA ตรวจสอบสิทธิ์ผู้ใช้
- ภาษามาร์กอัปยืนยันความปลอดภัย (SAML)
SAML สามารถนำมาใช้เพื่อยืนยันตัวตนได้ SAP ผู้ใช้ HANA ที่กำลังเข้าถึง SAP ฐานข้อมูล HANA ผ่านทาง ODBC/JDBC โดยตรง เป็นกระบวนการจับคู่ข้อมูลประจำตัวผู้ใช้ภายนอกกับผู้ใช้ฐานข้อมูลภายใน เพื่อให้ผู้ใช้สามารถเข้าสู่ระบบฐานข้อมูล SAP ด้วย ID ผู้ใช้ภายนอกได้
- SAP ตั๋วการเข้าสู่ระบบและการยืนยัน
ผู้ใช้สามารถตรวจสอบสิทธิ์ได้โดยการเข้าสู่ระบบหรือตั๋วยืนยันตัวตน ซึ่งได้รับการกำหนดค่าและออกให้กับผู้ใช้เพื่อสร้างตั๋ว
- ใบรับรองไคลเอ็นต์ X.509
เมื่อ SAP การเข้าถึง HANA XS โดย HTTP ใบรับรองไคลเอนต์ที่ลงนามโดยผู้มีอำนาจออกใบรับรอง (CA) ที่เชื่อถือได้สามารถนำมาใช้เพื่อพิสูจน์ตัวตนของผู้ใช้ได้
SAP การอนุญาต HANA
SAP จำเป็นต้องมีการอนุญาต HANA เมื่อผู้ใช้ใช้อินเทอร์เฟซไคลเอนต์ (JDBC, ODBC หรือ HTTP) เพื่อเข้าถึง SAP ฐานข้อมูลฮาน่า
ขึ้นอยู่กับการอนุญาตที่มอบให้กับผู้ใช้ ผู้ใช้สามารถดำเนินการกับฐานข้อมูลบนอ็อบเจ็กต์ฐานข้อมูลได้ การอนุญาตนี้เรียกว่า “สิทธิ์”
สามารถมอบสิทธิพิเศษให้กับผู้ใช้โดยตรงหรือโดยอ้อม (ผ่านบทบาท) สิทธิ์ทั้งหมดที่กำหนดให้กับผู้ใช้จะรวมกันเป็นหน่วยเดียว
เมื่อผู้ใช้พยายามเข้าถึงสิ่งใด ๆ SAP วัตถุฐานข้อมูล HANA ระบบ HANA จะทำการตรวจสอบการอนุญาตบนผู้ใช้ผ่านบทบาทผู้ใช้และให้สิทธิ์โดยตรง
เมื่อพบสิทธิ์ที่ร้องขอ ระบบ HANA จะข้ามการตรวจสอบเพิ่มเติมและให้สิทธิ์การเข้าถึงวัตถุฐานข้อมูลที่ร้องขอ
In SAP สิทธิพิเศษของ HANA มีดังนี้
ประเภทสิทธิพิเศษ | Descriptไอออน |
---|---|
สิทธิพิเศษของระบบ | ควบคุมกิจกรรมของระบบตามปกติ สิทธิ์ของระบบส่วนใหญ่จะใช้สำหรับ -
|
สิทธิพิเศษของวัตถุ | สิทธิ์ของวัตถุคือ SQL สิทธิ์ที่ใช้เพื่อให้สิทธิ์ในการอ่านและแก้ไขวัตถุฐานข้อมูล ในการเข้าถึงวัตถุฐานข้อมูล ผู้ใช้จำเป็นต้องมีสิทธิ์ของวัตถุบนวัตถุฐานข้อมูลหรือบนสคีมาซึ่งมีวัตถุฐานข้อมูลอยู่ สิทธิ์ของวัตถุสามารถมอบให้กับวัตถุแค็ตตาล็อก (ตาราง มุมมอง ฯลฯ) หรือวัตถุที่ไม่ใช่แค็ตตาล็อก (วัตถุการพัฒนา) สิทธิ์ของวัตถุมีดังนี้ -
|
สิทธิ์การวิเคราะห์ | สิทธิ์การวิเคราะห์ใช้เพื่อให้สามารถเข้าถึงข้อมูลการอ่านได้ SAP แบบจำลองข้อมูล HANA (มุมมองคุณลักษณะ, มุมมองวิเคราะห์, มุมมองการคำนวณ)
การควบคุมให้ผู้ใช้แต่ละรายดูข้อมูลอยู่ในมุมมองเดียวกัน |
สิทธิพิเศษแพ็คเกจ | สิทธิ์แพ็คเกจใช้เพื่อให้การอนุมัติสำหรับการดำเนินการกับแพ็คเกจแต่ละรายการใน SAP คลังเก็บข้อมูล HANA |
สิทธิพิเศษในการสมัคร | สิทธิ์ในการสมัครเป็นสิ่งจำเป็นใน SAP บริการแอพพลิเคชั่นเพิ่มเติมของ HANA (SAP HANA XS) สำหรับแอปพลิเคชันการเข้าถึง
สิทธิ์ของแอปพลิเคชันได้รับและเพิกถอนผ่านขั้นตอน GRANT_APPLICATION_PRIVILEGE และขั้นตอน REVOKE_APPLICATION_PRIVILEGE ใน _SYS_REPO schema |
สิทธิพิเศษสำหรับผู้ใช้ | เป็นสิทธิ์ SQL ซึ่งสามารถให้สิทธิ์โดยผู้ใช้กับผู้ใช้ของตนเอง ATTACH DEBUGGER เป็นสิทธิพิเศษเดียวที่สามารถมอบให้กับผู้ใช้ได้ |
SAP การบริหารผู้ใช้ HANA และการจัดการบทบาท
ในการเข้าถึง SAP ฐานข้อมูล HANA จำเป็นต้องมีผู้ใช้ โดยผู้ใช้จะแบ่งเป็น 2 ประเภทตามนโยบายความปลอดภัยที่แตกต่างกัน SAP HANA ดังต่อไปนี้ –
-
ผู้ใช้ด้านเทคนิค (ผู้ใช้ DBA) – เป็นผู้ใช้ที่ทำงานร่วมกับโดยตรง SAP ฐานข้อมูล HANA พร้อมสิทธิ์ที่จำเป็น โดยปกติแล้วผู้ใช้เหล่านี้จะไม่ถูกลบออกจากฐานข้อมูล
ผู้ใช้เหล่านี้ถูกสร้างขึ้นสำหรับงานการดูแลระบบ เช่น การสร้างออบเจ็กต์และการให้สิทธิ์บนออบเจ็กต์ฐานข้อมูลหรือบนแอปพลิเคชัน
SAP ระบบฐานข้อมูล HANA กำหนดให้ผู้ใช้ต่อไปนี้เป็นผู้ใช้มาตรฐานตามค่าเริ่มต้น
- ระบบ
- ซิส
- _SYS_REPO
-
ฐานข้อมูลหรือผู้ใช้จริง: ผู้ใช้แต่ละคนที่ต้องการทำงานบน SAP ฐานข้อมูล HANA จำเป็นต้องมีผู้ใช้ฐานข้อมูล ผู้ใช้ฐานข้อมูลคือบุคคลจริงที่ทำงานบน SAP ฮานะ.
ผู้ใช้ฐานข้อมูลมี 2 ประเภทดังนี้ –
ประเภทผู้ใช้ | Descriptไอออน | บทบาทที่ได้รับมอบหมาย |
---|---|---|
ผู้ใช้มาตรฐาน | ผู้ใช้นี้สามารถสร้างออบเจ็กต์ในสคีมาของตัวเองและอ่านข้อมูลในมุมมองของระบบ ผู้ใช้มาตรฐานที่สร้างขึ้นด้วยคำสั่ง "สร้างผู้ใช้" | บทบาทสาธารณะถูกกำหนดให้กับมุมมองระบบการอ่าน |
ผู้ใช้ที่ถูกจำกัด | ผู้ใช้ที่ถูกจำกัดไม่มีการเข้าถึง SQL แบบเต็มผ่านคอนโซล SQL และสร้างขึ้นด้วยคำสั่ง "สร้างผู้ใช้ที่ถูกจำกัด" หากสิทธิ์ที่จำเป็นสำหรับการใช้แอปพลิเคชันใดๆ สิทธิ์เหล่านั้นจะถูกจัดเตรียมผ่านบทบาท
|
บทบาท RESTRICTED_USER_ODBC_ACCESS หรือ RESTRICTED_USER_JDBC_ACCESS ที่จำเป็นสำหรับผู้ใช้สำหรับการเข้าถึงแบบเต็มของฟังก์ชัน ODBC/JDBC |
SAP ผู้ดูแลระบบผู้ใช้ HANA มีสิทธิ์เข้าถึงกิจกรรมต่อไปนี้ –
- สร้าง/ลบผู้ใช้
- กำหนดและสร้างบทบาท
- มอบบทบาทให้กับผู้ใช้
- การรีเซ็ตรหัสผ่านผู้ใช้
- เปิดใช้งานใหม่ / ปิดใช้งานผู้ใช้ตามความต้องการ
1. สร้างผู้ใช้ใน SAP ฮานะ- เฉพาะผู้ใช้ฐานข้อมูลที่มีสิทธิ์ ROLE ADMIN เท่านั้นที่สามารถสร้างผู้ใช้และบทบาทได้ SAP ฮานะ.
ขั้นตอน 1) เพื่อสร้างผู้ใช้ใหม่ใน SAP HANA Studio ไปที่แท็บความปลอดภัยตามที่แสดงด้านล่างและทำตามขั้นตอนต่อไปนี้
- ไปที่โหนดความปลอดภัย
- เลือกผู้ใช้ (คลิกขวา) -> ผู้ใช้ใหม่
ขั้นตอน 2) หน้าจอการสร้างผู้ใช้จะปรากฏขึ้น
- กรอกชื่อผู้ใช้
- ป้อนรหัสผ่านสำหรับผู้ใช้
- นี่เป็นกลไกการตรวจสอบสิทธิ์ โดยค่าเริ่มต้น ชื่อผู้ใช้ / รหัสผ่านจะถูกใช้สำหรับการตรวจสอบสิทธิ์
โดยคลิกที่ปรับใช้ผู้ใช้ปุ่มจะถูกสร้างขึ้น
2. กำหนดและสร้างบทบาท
บทบาทคือชุดของสิทธิพิเศษที่สามารถมอบให้กับผู้ใช้หรือบทบาทอื่นได้ บทบาทนี้รวมถึงสิทธิ์สำหรับออบเจ็กต์ฐานข้อมูลและแอปพลิเคชัน และขึ้นอยู่กับลักษณะของงาน
เป็นกลไกมาตรฐานในการให้สิทธิพิเศษ สิทธิพิเศษสามารถมอบให้กับผู้ใช้ได้โดยตรง มีบทบาทมาตรฐานมากมาย (เช่น การสร้างแบบจำลอง การตรวจสอบ ฯลฯ) พร้อมใช้งานใน SAP ฐานข้อมูลฮาน่า
เราสามารถใช้บทบาทมาตรฐานเป็นเทมเพลตสำหรับสร้างบทบาทที่กำหนดเองได้
บทบาทสามารถมีสิทธิพิเศษดังต่อไปนี้
- สิทธิ์ของระบบสำหรับงานการดูแลระบบและการพัฒนา (อ่านแค็ตตาล็อก, ตรวจสอบผู้ดูแลระบบ ฯลฯ )
- สิทธิ์ของวัตถุสำหรับวัตถุฐานข้อมูล (SELECT, INSERT, DELETE ฯลฯ )
- สิทธิพิเศษในการวิเคราะห์สำหรับ SAP มุมมองข้อมูล HANA
- สิทธิ์แพ็กเกจบนแพ็กเกจที่เก็บ (REPO.READ, REPO.EDIT_NATIVE_OBJECTS ฯลฯ)
- สิทธิพิเศษในการสมัคร SAP แอปพลิเคชัน HANA XS
- สิทธิพิเศษสำหรับผู้ใช้ (สำหรับการดีบักขั้นตอน)
การสร้างบทบาท
ขั้นตอน 1) ในขั้นตอนนี้
- ไปที่โหนดความปลอดภัยใน SAP ระบบฮาน่า.
- เลือกโหนดบทบาท (คลิกขวา) และเลือกบทบาทใหม่
ขั้นตอน 2) หน้าจอการสร้างบทบาทจะแสดงขึ้น
- ตั้งชื่อบทบาทภายใต้ New Role Block
- เลือกแท็บ บทบาทที่ได้รับ แล้วคลิกไอคอน “+” เพื่อเพิ่มบทบาทมาตรฐานหรือบทบาทที่ออก
- เลือกบทบาทที่ต้องการ (เช่น MODELLING, MONITORING ฯลฯ)
ขั้นตอน 3) ในขั้นตอนนี้
- บทบาทที่เลือกจะถูกเพิ่มในแท็บบทบาทที่ได้รับ
- สามารถกำหนดสิทธิ์ให้กับผู้ใช้ได้โดยตรงโดยเลือกสิทธิ์ของระบบ, สิทธิ์ของออบเจ็กต์, สิทธิ์การวิเคราะห์, สิทธิ์แพ็คเกจ ฯลฯ
- คลิกที่ไอคอนปรับใช้เพื่อสร้างบทบาท
ทำเครื่องหมายที่ตัวเลือก “มอบให้กับผู้ใช้และบทบาทอื่น” หากคุณต้องการกำหนดบทบาทนี้ให้กับผู้ใช้และบทบาทอื่น
3. มอบบทบาทให้กับผู้ใช้
ขั้นตอน 1) ในขั้นตอนนี้ เราจะกำหนดบทบาท “MODELLING_VIEW” ให้กับผู้ใช้รายอื่น “ABHI_TEST”
- ไปที่โหนดย่อยผู้ใช้ภายใต้โหนดความปลอดภัยแล้วดับเบิลคลิก หน้าต่างผู้ใช้จะปรากฏขึ้น
- คลิกที่ไอคอน "+" บทบาทที่ได้รับ
- ป๊อปอัปจะปรากฏขึ้น ค้นหาชื่อบทบาทที่จะกำหนดให้กับผู้ใช้
ขั้นตอน 2) ในขั้นตอนนี้ บทบาท “MODELLING_VIEW” จะถูกเพิ่มภายใต้บทบาท
ขั้นตอน 3) ในขั้นตอนนี้
- คลิกที่ปุ่มปรับใช้
- ข้อความ "ผู้ใช้ 'ABHI_TEST" ถูกเปลี่ยนแปลงจะแสดงขึ้น
4. การรีเซ็ตรหัสผ่านผู้ใช้
หากจำเป็นต้องรีเซ็ตรหัสผ่านผู้ใช้ ให้ไปที่โหนดย่อยผู้ใช้ภายใต้โหนดความปลอดภัยแล้วดับเบิลคลิก หน้าต่างผู้ใช้จะปรากฏขึ้น
ขั้นตอน 1) ในขั้นตอนนี้
- ใส่รหัสผ่านใหม่.
- กรอกยืนยันรหัสผ่าน
ขั้นตอน 2) ในขั้นตอนนี้
- คลิกที่ปุ่มปรับใช้
- ข้อความ “ผู้ใช้ 'ABHI_TEST” ถูกเปลี่ยนแปลงจะปรากฏขึ้น
5. เปิดใช้งานใหม่/ยกเลิกการเปิดใช้งานผู้ใช้
ไปที่โหนดย่อยผู้ใช้ภายใต้โหนดความปลอดภัยแล้วดับเบิลคลิก หน้าต่างผู้ใช้จะปรากฏขึ้น
มีไอคอน De-Activate User คลิกที่มัน
ข้อความยืนยัน "ป๊อปอัป" จะปรากฏขึ้น คลิกที่ปุ่ม 'ใช่'
จะมีข้อความแสดงขึ้นว่า “ผู้ใช้ 'ABHI_TEST' ถูกปิดใช้งาน” ไอคอนปิดใช้งานจะเปลี่ยนชื่อเป็น “เปิดใช้งานผู้ใช้” ตอนนี้เราสามารถเปิดใช้งานผู้ใช้จากไอคอนเดียวกันได้แล้ว
SAP การจัดการใบอนุญาต HANA
ต้องมีรหัสลิขสิทธิ์จึงจะสามารถใช้งานได้ SAP ฐานข้อมูล HANA สามารถติดตั้งและลบรหัสลิขสิทธิ์ได้โดยใช้ SAP ฮานะสตูดิโอ, SAP เครื่องมือบรรทัดคำสั่ง HANA HDBSQL และตัวแก้ไขแบบสอบถาม HANA SQL
SAP ฐานข้อมูล HANA รองรับคีย์ลิขสิทธิ์สองประเภท –
- รหัสใบอนุญาตถาวร: รหัสใบอนุญาตถาวรมีผลจนถึงวันหมดอายุ เราจำเป็นต้องขอและใช้รหัสลิขสิทธิ์ก่อนที่จะหมดอายุ หากรหัสใบอนุญาตหมดอายุ รหัสใบอนุญาตชั่วคราวจะถูกติดตั้งโดยอัตโนมัติเป็นเวลา 28 วัน
- รหัสใบอนุญาตชั่วคราว: นี่จะติดตั้งใหม่โดยอัตโนมัติ SAP การติดตั้งฐานข้อมูล HANA มีอายุใช้งาน 90 วันและสามารถสมัครรหัสถาวรได้จาก SAP.
การอนุญาตการจัดการใบอนุญาต
“ผู้ดูแลระบบใบอนุญาต” จำเป็นต้องมีสิทธิพิเศษสำหรับการจัดการใบอนุญาต
SAP การตรวจสอบ HANA
SAP คุณสมบัติการตรวจสอบ HANA ช่วยให้คุณสามารถตรวจสอบและบันทึกการดำเนินการที่ดำเนินการใน SAP ระบบ HANA ควรเปิดใช้งานฟีเจอร์เหล่านี้ให้กับระบบก่อนที่จะสร้างนโยบายการตรวจสอบ
การอนุญาตสำหรับ SAP การตรวจสอบ HANA
“ผู้ดูแลระบบตรวจสอบ”สิทธิ์ระบบที่จำเป็นสำหรับ SAP การตรวจสอบ HANA
สรุป
ในบทช่วยสอนนี้ เราได้เรียนรู้หัวข้อดังต่อไปนี้
- SAP ภาพรวมความปลอดภัยของ HANA
- SAP การยืนยันตัวตน HANA แบบละเอียด
- SAP การอนุญาต HANA อย่างละเอียด
- SAP วิธีการจัดการผู้ใช้ HANA
- SAP วิธีการบริหารจัดการบทบาท HANA
- SAP กระบวนการจัดการใบอนุญาต HANA
- SAP กระบวนการตรวจสอบบทบาท HANA