SAP HANA Güvenliği: Eğitimin Tamamı

By: mason garcia mason garcia
Hours Güncellenmiş

Sap Hana Güvenliği Nedir?

SAP HANA Security, önemli verileri yetkisiz erişime karşı koruyor ve şirket tarafından benimsenen güvenlik standardı olarak standartların ve uyumluluğun karşılanmasını sağlıyor.

SAP HANA, tek bir veritabanında birden fazla veritabanının oluşturulabileceği Çok Kiracılı veritabanı gibi bir olanak sağlar. SAP HANA Sistemi. Çok kiracılı veritabanı kapsayıcısı olarak bilinir. Bu yüzden SAP HANA, tüm çok kiracılı veritabanı kapsayıcıları için güvenlikle ilgili tüm özellikleri sağlar.

SAP HANA Aşağıdaki güvenlikle ilgili özelliği sağlayın –

  • Kullanıcı ve Rol Yönetimi
  • Yetki
  • Doğrulama
  • Kalıcılık Katmanındaki verilerin şifrelenmesi
  • Ağ Katmanındaki verilerin şifrelenmesi

SAP HANA Kullanıcısı ve Rolü

SAP HANA Kullanıcı ve Rol yönetimi yapılandırması aşağıdaki mimariye bağlıdır –

  1. 3 Katmanlı Archidoku.

    SAP HANA, 3 Katmanlı bir ilişkisel veritabanı olarak kullanılabilir Archidoku.

    Bu mimaride güvenlik özellikleri (yetkilendirme, kimlik doğrulama, şifreleme ve denetim) uygulama sunucusu katmanlarına yüklenir.

    SAP uygulama (ERP, BW vb.) veritabanına yalnızca teknik bir kullanıcı veya veritabanı yöneticisi (Basis Person) yardımıyla bağlanır. Son kullanıcı doğrudan veritabanına veya veritabanı sunucusuna erişemez.

SAP HANA 3 Katmanlı Archidoku

  1. 2 Katmanlı Archidoku.

    SAP HANA Genişletilmiş Uygulama Hizmetleri (SAP HANA XS) 2 – Tier'a dayanmaktadır ArchiUygulama sunucusu, Web Sunucusu ve Geliştirme Ortamının tek bir sistemde gömülü olduğu yapı.

SAP HANA 2 Katmanlı Archidoku

SAP HANA Kimlik Doğrulaması

Veritabanı kullanıcısı veritabanına kimin eriştiğini tanımlar SAP HANA Veritabanı. “Kimlik Doğrulama” adlı bir işlemle doğrulanır. SAP HANA birçok kimlik doğrulama yöntemini destekler. Tek Oturum Açma (SSO), çeşitli Kimlik Doğrulama yöntemlerini entegre etmek için kullanılır.

SAP HANA aşağıdaki kimlik doğrulama yöntemini destekler –

  • Kerberos: Aşağıdaki durumlarda kullanılabilir:
  • Doğrudan JDBC ve ODBC İstemcisinden (SAP HANA Stüdyo).

  • Erişim için HTTP kullanıldığında SAP HANA XS.

  • Kullanıcı adı Şifre Kullanıcı veritabanı kullanıcı adını ve şifresini girdiğinde, SAP HANA Veritabanı kullanıcının kimliğini doğrular.

  • Güvenlik Onayı Biçimlendirme Dili (SAML)

    SAML kimlik doğrulamak için kullanılabilir SAP Erişim sağlayan HANA Kullanıcısı SAP HANA Veritabanı doğrudan ODBC/JDBC aracılığıyla. Harici kullanıcı kimliğini dahili veritabanı kullanıcısına eşleme sürecidir, böylece kullanıcı harici kullanıcı kimliğiyle SAP veritabanında oturum açabilir.

  • SAP Oturum Açma ve Onay Biletleri

    Kullanıcının kimliği, bir bilet oluşturmak için yapılandırılan ve kullanıcıya verilen Oturum Açma veya Onay Biletleri ile doğrulanabilir.

  • X.509 İstemci Sertifikaları

    Ne zaman SAP HANA XS HTTP üzerinden erişim, güvenilir bir Sertifika yetkilisi (CA) tarafından imzalanan İstemci sertifikaları, kullanıcının kimliğini doğrulamak için kullanılabilir.

SAP HANA Yetkilendirmesi

SAP HANA Yetkilendirmesi, bir kullanıcının istemci arayüzüne (JDBC, ODBC veya HTTP) erişmesi için gerekli olduğunda SAP HANA veritabanı.

Kullanıcıya verilen yetkiye bağlı olarak veritabanı nesnesi üzerinde veritabanı işlemlerini gerçekleştirebilir. Bu yetkiye “ayrıcalıklar” denir.

Ayrıcalıklar kullanıcıya doğrudan veya dolaylı olarak (roller aracılığıyla) verilebilir. Kullanıcılara atanan tüm Ayrıcalıklar tek bir birim olarak birleştirilir.

Bir kullanıcı herhangi bir şeye erişmeye çalıştığında SAP HANA Veritabanı nesnesi, HANA Sistemi, kullanıcı rolleri aracılığıyla kullanıcı üzerinde yetkilendirme kontrolü gerçekleştirir ve ayrıcalıkları doğrudan verir.

İstenen Ayrıcalıklar bulunduğunda, HANA sistemi diğer kontrolleri atlar ve istek veritabanı nesnelerine erişim izni verir.

In SAP HANA'nın aşağıdaki ayrıcalıkları vardır –

Ayrıcalık Türleri Tanım
Sistem Ayrıcalıkları Normal sistem aktivitesini kontrol eder. Sistem Ayrıcalıkları esas olarak aşağıdakiler için kullanılır:

  • Şema Oluşturma ve Silme SAP HANA Veritabanı
  • Kullanıcıyı ve rolü yönetme SAP HANA Veritabanı
  • İzleme ve takip SAP HANA veritabanı
  • Veri yedeklemelerinin gerçekleştirilmesi
  • Lisansı yönetme
  • Sürümü yönetme
  • Denetimi Yönetmek
  • İçeriği içe ve dışa aktarma
  • Teslimat Birimlerinin Bakımı
Nesne Ayrıcalıkları Nesne Ayrıcalıkları SQL Veritabanı nesnelerini okuma ve değiştirme yetkisi vermek için kullanılan ayrıcalıklar. Veritabanı nesnelerine erişmek için kullanıcının, veritabanı nesneleri üzerinde veya veritabanı nesnesinin bulunduğu şema üzerinde nesne ayrıcalıklarına ihtiyacı vardır. Katalog nesnelerine (tablo, görünüm vb.) veya katalog dışı nesnelere (geliştirme nesneleri) nesne ayrıcalıkları verilebilir.
Nesne Ayrıcalıkları aşağıdaki gibidir –

  • HERHANGİ BİRİNİ OLUŞTURUN
  • GÜNCELLEME, EKLEME, SEÇME, SİLME, BIRAKMA, DEĞİŞTİRME, ÇALIŞTIRMA
  • DİZİN, TETİKLEYİCİ, HATA AYIKLAMA, REFERANSLAR
Analitik Ayrıcalıklar Analitik Ayrıcalıklar, verilere okuma erişimine izin vermek için kullanılır. SAP HANA Bilgi modeli (öznitelik görünümü, Analitik Görünüm, hesaplama Görünümü).

  • Bu ayrıcalık sorgu işleme sırasında değerlendirilir.
  • Analitik Ayrıcalıklar, verilerin farklı bölümlerine farklı kullanıcı erişimi sağlar.
  • Kullanıcı rolüne dayalı olarak aynı bilgi görünümü.
  • Analitik Ayrıcalıklar şu durumlarda kullanılır: SAP Satır düzeyinde veri sağlamak için HANA veritabanı

Bireysel kullanıcıların verileri görme kontrolü aynı görünümdedir.
Paket Ayrıcalıkları Paket Ayrıcalıkları, tek tek paketlerdeki eylemlere yetki vermek için kullanılır. SAP HANA Deposu.
Uygulama Ayrıcalıkları Uygulama Ayrıcalıkları gereklidir SAP HANA Genişletilmiş Uygulama Hizmetleri (SAP HANA XS) erişim uygulaması için.

Uygulama ayrıcalıkları, _SYS_REPO şemasındaki GRANT_APPLICATION_PRIVILEGE ve REVOKE_APPLICATION_PRIVILEGE prosedürleri aracılığıyla verilir ve iptal edilir.
Kullanıcıya İlişkin Ayrıcalıklar Kullanıcının kendi kullanıcısına verebileceği bir SQL Ayrıcalıklarıdır. ATTACH DEBUGGER, bir kullanıcıya verilebilecek tek ayrıcalıktır.

İLGİLİ MAKALELER

SAP HANA Kullanıcı Yönetimi ve Rol Yönetimi

Erişmek için SAP HANA Veritabanı, kullanıcılara ihtiyaç duyulmaktadır. Farklı güvenlik politikalarına bağlı olarak iki tür kullanıcı vardır. SAP HANA aşağıdaki gibi –

  1. Teknik Kullanıcı (DBA Kullanıcısı) – Doğrudan çalışan bir kullanıcıdır SAP Gerekli ayrıcalıklara sahip HANA veritabanı. Normalde bu kullanıcılar veritabanından silinmez.

    Bu kullanıcılar, bir nesne oluşturmak ve veritabanı nesnesi veya uygulama üzerinde ayrıcalıklar vermek gibi yönetimsel bir görev için oluşturulur.

    SAP HANA Veritabanı sistemi varsayılan olarak standart kullanıcı olarak aşağıdaki kullanıcıyı sağlar:

  • SİSTEM
  • SYS
  • _SYS_REPO

  1. Veritabanı veya Gerçek Kullanıcı: Üzerinde çalışmak isteyen her kullanıcı SAP HANA veritabanı, bir veritabanı kullanıcısına ihtiyaç duyuyor. Veritabanı kullanıcısı, üzerinde çalışan gerçek bir kişidir. SAP Hana.

    Aşağıdaki gibi iki tür Veritabanı kullanıcısı vardır:

Kullanıcı tipi Tanım Rol atandı
Standart kullanıcı Bu kullanıcı kendi şemasında nesneler oluşturabilir ve sistem görünümlerindeki verileri okuyabilir. “CREATE USER” ifadesi ile oluşturulan Standart Kullanıcı. Okuma sistemi görünümleri için PUBLIC rolü atanır.
Kısıtlı Kullanıcı Kısıtlı Kullanıcının SQL Konsolu aracılığıyla tam SQL Erişimi yoktur ve “CREATE RESTRICTED USER” ifadesi ile oluşturulmuştur. Herhangi bir uygulamanın kullanımı için ayrıcalıklar gerekiyorsa, bunlar rol aracılığıyla sağlanır.

  • Kısıtlı Kullanıcı veritabanı nesneleri oluşturamaz.
  • Kısıtlı Kullanıcı veritabanındaki verileri görüntüleyemez.
  • Kısıtlı Kullanıcı veritabanına Yalnızca HTTP aracılığıyla bağlanır.
  • İstemci bağlantısı için ODBC/JDBC erişiminin SQL deyimiyle etkinleştirilmesi gerekir.
 ODBC/JDBC işlevselliğine Tam Erişim için kullanıcıya RESTRICTED_USER_ODBC_ACCESS veya RESTRICTED_USER_JDBC_ACCESS rolü gerekli

SAP HANA Kullanıcı Yöneticisi aşağıdaki aktiviteye erişebilir –

  1. Kullanıcı oluştur/sil.
  2. Rol Tanımlayın ve Oluşturun.
  3. Kullanıcıya Rol Ver.
  4. Kullanıcı şifresinin sıfırlanması.
  5. Kullanıcıyı ihtiyaca göre yeniden etkinleştirin / devre dışı bırakın.

1. Kullanıcı Oluşturun SAP HANA- yalnızca ROLE ADMIN ayrıcalıklarına sahip veritabanı kullanıcısı kullanıcı ve rol oluşturabilir. SAP Hana.

) 1 Adım Yeni kullanıcı oluşturmak için SAP HANA Studio'da aşağıda gösterildiği gibi güvenlik sekmesine gidin ve şu adımları izleyin;

  1. Güvenlik düğümüne gidin.
  2. Kullanıcılar'ı seçin (Sağ Tıklama) -> Yeni Kullanıcı.

Kullanıcıyı şurada oluştur SAP HANA

) 2 Adım Bir kullanıcı oluşturma ekranı görüntülenir.

  1. Kullanıcı adı girin.
  2. Kullanıcı için Şifreyi girin.
  3. Bunlar kimlik doğrulama mekanizmasıdır; kimlik doğrulama için varsayılan olarak Kullanıcı adı / şifre kullanılır.

Kullanıcıyı şurada oluştur SAP HANA

Dağıtıma tıklayarakKullanıcıyı şurada oluştur SAP HANAButon kullanıcısı oluşturulacaktır.

2. Rol Tanımlayın ve Oluşturun

Rol, diğer kullanıcılara veya role verilebilecek bir ayrıcalıklar koleksiyonudur. Rol, işin niteliğine bağlı olarak veritabanı nesnesi ve uygulaması için ayrıcalıklar içerir.

Ayrıcalıkların verilmesine yönelik standart bir mekanizmadır. Ayrıcalıklar doğrudan kullanıcıya verilebilir. Birçok standart rol (örn. MODELLEME, İZLEME vb.) mevcuttur. SAP HANA veritabanı.

Özel rol oluşturmak için standart rolü şablon olarak kullanabiliriz.

Bir rol aşağıdaki ayrıcalıkları içerebilir:

  • Yönetim ve geliştirme görevi için Sistem Ayrıcalıkları (KATALOG OKUMA, DENETİM YÖNETİCİSİ, vb.)
  • Veritabanı nesneleri için Nesne Ayrıcalıkları (SELECT, INSERT, DELETE, vb.)
  • Analitik Ayrıcalıkları SAP HANA Bilgi Görünümü
  • Depo paketlerindeki Paket Ayrıcalıkları (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, vb.)
  • Başvuru Ayrıcalıkları SAP HANA XS uygulamaları.
  • Kullanıcıya ilişkin ayrıcalıklar (Prosedürde hata ayıklamak için).

Rol Oluşturma

) 1 Adım Bu adımda,

  1. Güvenlik düğümüne gidin SAP HANA Sistemi.
  2. Rol Düğümü'nü seçin (Sağ Tıklayın) ve Yeni Rol'ü seçin.

Rol Oluşturma SAP HANA

) 2 Adım Bir rol oluşturma ekranı görüntülenir.

Rol Oluşturma SAP HANA

  1. Yeni Rol Bloğu altında Rol adını verin.
  2. Verilen Rol sekmesini seçin ve Standart Rolü veya mevcut rolü eklemek için “+” Simgesine tıklayın.
  3. İstediğiniz rolü seçin (örn. MODELLEME, İZLEME vb.)

) 3 Adım Bu adımda,

  1. Seçilen Rol, Verilen Roller Sekmesine eklenir.
  2. Ayrıcalıklar, Sistem Ayrıcalıkları, nesne Ayrıcalıkları, Analitik Ayrıcalıklar, Paket Ayrıcalıkları vb. seçilerek kullanıcıya doğrudan atanabilir.
  3. Rol oluşturmak için dağıtma simgesine tıklayın.

Rol Oluşturma SAP HANA

Bu rolü başka bir kullanıcıya ve role atamak istiyorsanız "Diğer kullanıcılara ve rollere verilebilir" seçeneğini işaretleyin.

3. Kullanıcıya Rol Verin

) 1 Adım Bu adımda “MODELLING_VIEW” Rolünü başka bir “ABHI_TEST” kullanıcısına atayacağız.

  1. Güvenlik düğümü altındaki Kullanıcı alt düğümüne gidin ve çift tıklayın. Kullanıcı penceresi gösterilecektir.
  2. Verilen roller “+” Simgesine tıklayın.
  3. Kullanıcıya atanacak Rol adının arandığı bir açılır pencere görünecektir.

Kullanıcıya Rol Ver SAP HANA

) 2 Adım Bu adımda Rol altına “MODELLING_VIEW” rolü eklenecektir.

Kullanıcıya Rol Ver SAP HANA

) 3 Adım Bu adımda,

  1. Dağıt Düğmesine tıklayın.
  2. “Kullanıcı 'ABHI_TEST” değişti Mesajı görüntülenir.

Kullanıcıya Rol Ver

4. Kullanıcı Şifresinin Sıfırlanması

Kullanıcı şifresinin sıfırlanması gerekiyorsa, Güvenlik düğümü altındaki Kullanıcı alt düğümüne gidin ve çift tıklayın. Kullanıcı penceresi gösterilecektir.

) 1 Adım Bu adımda,

  1. Yeni şifreyi girin.
  2. Parolayı onaylayın'ı girin.

Kullanıcı Şifresinin Sıfırlanması

) 2 Adım Bu adımda,

  1. Dağıt Düğmesine tıklayın.
  2. “Kullanıcı 'ABHI_TEST” değiştirildi mesajı görüntülenir.

Kullanıcı Şifresinin Sıfırlanması SAP HANA

5. Kullanıcıyı Yeniden Etkinleştirin/Devre Dışı Bırakın

Güvenlik düğümü altındaki Kullanıcı alt düğümüne gidin ve çift tıklayın. Kullanıcı penceresi gösterilecektir.

Kullanıcıyı Devre Dışı Bırak simgesi vardır. Üstüne tıkla

Kullanıcıyı Yeniden Etkinleştir/Devre Dışı Bırak SAP HANA

“Popup” onay mesajı görünecektir. 'Evet' Düğmesine tıklayın.

Kullanıcıyı Yeniden Etkinleştir/Devre Dışı Bırak SAP HANA

“'ABHI_TEST' kullanıcısı devre dışı bırakıldı” mesajı görüntülenecektir. Devre Dışı Bırak simgesi “Kullanıcıyı etkinleştir” adıyla değişir. Artık kullanıcıyı aynı simgeden etkinleştirebiliriz.

SAP HANA Lisans Yönetimi

Kullanmak için lisans anahtarı gereklidir SAP HANA Veritabanı. Bir lisans anahtarı kullanılarak yüklenebilir ve silinebilir. SAP HANA Stüdyo, SAP HANA HDBSQL Komut Satırı aracı ve HANA SQL Sorgu düzenleyicisi.

SAP HANA veritabanı iki tür lisans anahtarını destekler:

  • Kalıcı Lisans Anahtarı: Kalıcı lisans anahtarları son kullanma tarihine kadar geçerlidir. Süresi dolmadan lisans anahtarını talep etmemiz ve uygulamamız gerekiyor. Lisans anahtarının süresi dolarsa Geçici Lisans Anahtarı 28 gün boyunca otomatik olarak yüklenir.
  • Geçici Lisans Anahtarı: Bu, yeni bir sürümle otomatik olarak yüklenir SAP HANA Veritabanı Kurulumu. 90 gün geçerlidir ve daha sonra Kalıcı anahtar için başvuruda bulunabilirsiniz SAP.

Lisans Yönetimi Yetkilendirmesi

“LİSANS YÖNETİCİSİ” Lisans Yönetimi için ayrıcalıklar gereklidir.

SAP HANA Denetimi

SAP HANA Denetim özellikleri, gerçekleştirilen eylemi izlemenize ve kaydetmenize olanak tanır. SAP HANA Sistemi. Denetim politikası oluşturulmadan önce bu özelliklerin sistem için etkinleştirilmesi gerekmektedir.

Yetkilendirme SAP HANA Denetimi

“DENETİM YÖNETİCİSİ”için gerekli Sistem Ayrıcalıkları SAP HANA Denetimi.

ÖZET

Bu eğitimde, aşağıdaki konuyu öğrendik –

  • SAP HANA Güvenliğine genel bakış.
  • SAP HANA Kimlik Doğrulaması ayrıntılı olarak.
  • SAP Ayrıntılı olarak HANA Yetkilendirmesi.
  • SAP HANA Kullanıcı Yönetimi yöntemi.
  • SAP HANA Rol Yönetimi yöntemi
  • SAP HANA lisansı Yönetim süreci.
  • SAP HANA Rol Denetim Süreci.