SAP Безпека HANA: Повний підручник

Автор: Мейсон Гарсія Мейсон Гарсія
Hours оновлений

Що таке Sap Hana Security?

SAP HANA Security захищає важливі дані від несанкціонованого доступу та гарантує, що стандарти та відповідність відповідають стандартам безпеки, прийнятим компанією.

SAP HANA надає можливість, наприклад базу даних Multitenant, у якій можна створити кілька баз даних в одній SAP Система HANA. Він відомий як мультитенантний контейнер бази даних. Отже SAP HANA надає всі функції, пов’язані з безпекою, для всіх мультитенантних контейнерів бази даних.

SAP ХАНА Надайте такі функції, пов’язані з безпекою –

  • Керування користувачами та ролями
  • Авторизація
  • Authentication
  • Шифрування даних у Persistence Layer
  • Шифрування даних на мережевому рівні

SAP Користувач і роль HANA

SAP Конфігурація керування користувачами та ролями HANA залежить від наведеної нижче архітектури –

  1. 3-рівневий Archiтектура.

    SAP HANA можна використовувати як трирівневу реляційну базу даних Archiтектура.

    У цій архітектурі функції безпеки (авторизація, автентифікація, шифрування та аудит) встановлюються на рівнях сервера додатків.

    SAP додаток (ERP, BW тощо) підключається до бази даних лише за допомогою технічного користувача або адміністратора бази даних (Basis Person). Кінцевий користувач не може отримати прямий доступ до бази даних або сервера бази даних.

SAP HANA 3 рівня Archiтектура

  1. 2-рівневий Archiтектура.

    SAP Служби розширених програм HANA (SAP HANA XS) базується на 2 – Tier Archiструктуру, в якій сервер додатків, веб-сервер і середовище розробки вбудовані в одну систему.

SAP HANA 2 рівня Archiтектура

SAP Аутентифікація HANA

Користувач бази даних визначає, хто має доступ до SAP База даних HANA. Його перевіряють за допомогою процесу під назвою «Автентифікація». SAP HANA підтримує багато методів автентифікації. Єдиний вхід (SSO) використовується для інтеграції кількох методів автентифікації.

SAP HANA підтримує наступний метод автентифікації:

  • Kerberos: Його можна використовувати в наступному випадку:
  • Безпосередньо з клієнта JDBC і ODBC (SAP Студія HANA).

  • Коли HTTP використовується для доступу SAP HANA XS.

  • Ім'я користувача Пароль Коли користувач вводить ім’я користувача та пароль своєї бази даних, тоді SAP База даних HANA автентифікує користувача.

  • Мова розмітки підтвердження безпеки (SAML)

    SAML можна використовувати для автентифікації SAP Користувач HANA, який здійснює доступ SAP База даних HANA безпосередньо через ODBC/JDBC. Це процес зіставлення зовнішніх ідентифікаційних даних користувача з внутрішнім користувачем бази даних, щоб користувач міг увійти в базу даних SAP із зовнішнім ідентифікатором користувача.

  • SAP Квитки входу та підтвердження

    Користувача можна автентифікувати за допомогою квитків входу або підтвердження, які налаштовуються та видаються користувачеві для створення квитка.

  • Сертифікати клієнтів X.509

    Коли SAP Доступ HANA XS через HTTP, сертифікати клієнта, підписані надійним центром сертифікації (CA), можна використовувати для автентифікації користувача.

SAP Авторизація HANA

SAP Авторизація HANA потрібна, коли користувач використовує інтерфейс клієнта (JDBC, ODBC або HTTP) для доступу до SAP База даних HANA.

Залежно від авторизації, наданої користувачеві, він може виконувати операції з базою даних над об’єктом бази даних. Цей дозвіл називається «привілеями».

Привілеї можуть бути надані користувачеві прямо чи опосередковано (через ролі). Усі привілеї, призначені користувачам, об’єднані в одне ціле.

Коли користувач намагається отримати доступ до будь-якого SAP Об’єкт бази даних HANA, система HANA виконує перевірку авторизації користувача через ролі користувача та безпосередньо надає привілеї.

Коли запитані привілеї знайдено, система HANA пропускає подальші перевірки та надає доступ до запитуваних об’єктів бази даних.

In SAP Вони мають наступні привілеї HANA –

Типи привілеїв Опис
Системні привілеї Він контролює нормальну діяльність системи. Системні привілеї в основному використовуються для:

  • Створення та видалення схеми в SAP База даних HANA
  • Керування користувачами та роллю в SAP База даних HANA
  • Моніторинг і відстеження SAP База даних HANA
  • Виконання резервного копіювання даних
  • Ліцензія на управління
  • Керуюча версія
  • Управління аудитом
  • Імпорт та експорт вмісту
  • Підтримка одиниць доставки
Привілеї об’єкта Об'єктні привілеї є SQL привілеї, які використовуються для надання дозволу на читання та зміну об’єктів бази даних. Щоб отримати доступ до об’єктів бази даних, користувачеві потрібні привілеї щодо об’єктів бази даних або щодо схеми, у якій існує об’єкт бази даних. Об’єктні привілеї можуть бути надані об’єктам каталогу (таблиця, подання тощо) або об’єктам, що не є каталогом (об’єкти розробки).
Привілеї об’єктів такі:

  • СТВОРИТИ БУДЬ-ЯКУ
  • ОНОВЛЕННЯ, ВСТАВЛЕННЯ, ВИБІР, ВИДАЛЕННЯ, ВИДАЛЕННЯ, ЗМІНЕННЯ, ВИКОНАННЯ
  • ІНДЕКС, ТРИГЕР, НАЛАДЖЕННЯ, ПОСИЛАННЯ
Аналітичні привілеї Аналітичні привілеї використовуються для надання доступу для читання даних SAP Інформаційна модель HANA (перегляд атрибутів, аналітичний перегляд, обчислення).

  • Цей привілей оцінюється під час обробки запиту.
  • Аналітичні привілеї надають різним користувачам доступ до різних частин даних у
  • Те саме представлення інформації на основі ролі користувача.
  • Аналітичні привілеї використовуються в SAP База даних HANA для надання даних на рівні рядків

Контроль перегляду даних окремими користувачами здійснюється в одному поданні.
Привілеї пакета Пакетні привілеї використовуються для надання авторизації для дій з окремими пакетами в SAP Репозиторій HANA.
Привілеї програми Для програми In SAP Служби розширених програм HANA (SAP HANA XS) для програми доступу.

Привілеї програми надаються та скасовуються за допомогою процедур GRANT_APPLICATION_PRIVILEGE та REVOKE_APPLICATION_PRIVILEGE у схемі _SYS_REPO.
Права користувача Це привілеї SQL, які користувач може надати власному користувачеві. ATTACH DEBUGGER — це єдиний привілей, який можна надати користувачеві.

СТАТТІ ПО ТЕМІ

SAP Адміністрування користувачів і роль HANA

Доступу SAP База даних HANA, потрібні користувачі. Залежно від різних політик безпеки існує два типи користувачів SAP HANA, як показано нижче –

  1. Технічний користувач (користувач DBA) – Це користувач, з яким безпосередньо працює SAP База даних HANA з необхідними привілеями. Зазвичай ці користувачі не видаляються з бази даних.

    Ці користувачі створюються для виконання адміністративного завдання, наприклад створення об’єкта та надання привілеїв для об’єкта бази даних або програми.

    SAP Система бази даних HANA надає наступного користувача за замовчуванням як стандартного користувача –

  • SYSTEM
  • SYS
  • _SYS_REPO

  1. База даних або справжній користувач: Кожен користувач, який хоче працювати над SAP База даних HANA, потрібен користувач бази даних. Користувач бази даних - це реальна людина, яка працює над SAP ХАНА.

    Існує два типи користувачів бази даних:

Тип користувача Опис Призначена роль
Стандартний користувач Цей користувач може створювати об’єкти у власній схемі та читати дані в системних представленнях. Стандартний користувач, створений за допомогою оператора «CREATE USER». Роль PUBLIC призначена для читання системних представлень.
Обмежений користувач Обмежений користувач не має повного доступу SQL через консоль SQL і створений за допомогою оператора «CREATE RESTRICTED USER». Якщо для використання будь-якої програми необхідні привілеї, вони надаються через роль.

  • Обмежений користувач не може створювати об’єкти бази даних.
  • Обмежений користувач не може переглядати дані в базі даних.
  • Обмежений користувач підключається до бази даних лише через HTTP.
  • Доступ ODBC/JDBC для підключення клієнта має бути ввімкнено за допомогою оператора SQL.
 Роль RESTRICTED_USER_ODBC_ACCESS або RESTRICTED_USER_JDBC_ACCESS необхідна користувачеві для повного доступу до функцій ODBC/JDBC

SAP Адміністратор користувача HANA має доступ до таких дій –

  1. Створити/видалити користувача.
  2. Визначення та створення ролі.
  3. Надати роль користувачеві.
  4. Скидання пароля користувача.
  5. Повторно активуйте/деактивуйте користувача відповідно до вимог.

1. Створіть користувача в SAP HANA- лише користувач бази даних із правами ROLE ADMIN може створити користувача та роль SAP ХАНА.

Крок 1) Щоб створити нового користувача в SAP HANA Studio перейдіть на вкладку безпеки, як показано нижче, і виконайте наступні дії;

  1. Перейдіть до вузла безпеки.
  2. Виберіть Користувачі (клацніть правою кнопкою миші) -> Новий користувач.

Створити користувача в SAP ХАНА

Крок 2) З’явиться екран створення користувача.

  1. Введіть ім'я користувача.
  2. Введіть пароль для користувача.
  3. Це механізм автентифікації, за замовчуванням для автентифікації використовується ім’я користувача/пароль.

Створити користувача в SAP ХАНА

Натиснувши на розгортанняСтворити користувача в SAP ХАНАБуде створено користувача кнопки.

2. Визначте та створіть роль

Роль — це набір привілеїв, які можна надавати іншим користувачам або ролі. Роль включає привілеї для об’єктів бази даних і додатків і залежно від характеру роботи.

Це стандартний механізм надання привілеїв. Привілеї можуть бути надані безпосередньо користувачу. Існує багато стандартних ролей (наприклад, МОДЕЛЮВАННЯ, МОНІТОРИНГ тощо). SAP База даних HANA.

Ми можемо використовувати стандартну роль як шаблон для створення спеціальної ролі.

Роль може містити такі привілеї:

  • Системні привілеї для завдань адміністрування та розробки (ЧИТАННЯ КАТАЛОГУ, АДМІНІСТРАТОР АУДИТУ тощо)
  • Об’єктні привілеї для об’єктів бази даних (SELECT, INSERT, DELETE тощо)
  • Аналітичні привілеї для SAP Перегляд інформації HANA
  • Привілеї пакетів для пакетів сховища (REPO.READ, REPO.EDIT_NATIVE_OBJECTS тощо)
  • Привілеї програми для SAP Додатки HANA XS.
  • Привілеї користувача (Для налагодження процедури).

Створення ролі

Крок 1) На цьому етапі

  1. Перейдіть до вузла безпеки SAP Система HANA.
  2. Виберіть «Вузол ролі» (клацніть правою кнопкою миші) і виберіть «Нова роль».

Створення ролі в SAP ХАНА

Крок 2) Відобразиться екран створення ролі.

Створення ролі в SAP ХАНА

  1. Укажіть назву ролі під новим блоком ролі.
  2. Виберіть вкладку «Надана роль» і натисніть піктограму «+», щоб додати стандартну роль або роль, що виходить.
  3. Виберіть бажану роль (наприклад, МОДЕЛЮВАННЯ, МОНІТОРИНГ тощо)

Крок 3) На цьому етапі

  1. Вибрану роль додано на вкладку «Надані ролі».
  2. Привілеї можна призначити користувачеві безпосередньо, вибравши Системні привілеї, Права об’єктів, Аналітичні привілеї, Права пакетів тощо.
  3. Натисніть піктограму розгортання, щоб створити роль.

Створення ролі в SAP ХАНА

Позначте опцію «Може бути надано іншим користувачам і ролям», якщо ви хочете призначити цю роль іншому користувачеві та ролі.

3. Надайте роль користувачеві

Крок 1) На цьому кроці ми призначимо роль «MODELLING_VIEW» іншому користувачеві «ABHI_TEST».

  1. Перейдіть до підвузла «Користувач» у розділі «Вузол безпеки» та двічі клацніть його. Відобразиться вікно користувача.
  2. Натисніть значок «+» із наданими ролями.
  3. З’явиться спливаюче вікно з назвою ролі пошуку, яку буде призначено користувачеві.

Надати роль користувачеві в SAP ХАНА

Крок 2) На цьому кроці роль «MODELLING_VIEW» буде додано в розділ «Роль».

Надати роль користувачеві в SAP ХАНА

Крок 3) На цьому етапі

  1. Натисніть кнопку Розгорнути.
  2. Відобразиться повідомлення «Користувач 'ABHI_TEST» змінено.

Надати роль користувачеві

4. Скидання пароля користувача

Якщо потрібно скинути пароль користувача, перейдіть до підвузла «Користувач» у розділі «Вузол безпеки» та двічі клацніть його. Відобразиться вікно користувача.

Крок 1) На цьому етапі

  1. Введіть новий пароль.
  2. Введіть Підтвердити пароль.

Скидання пароля користувача

Крок 2) На цьому етапі

  1. Натисніть кнопку Розгорнути.
  2. Відображається повідомлення «Користувач 'ABHI_TEST» змінено.

Скидання пароля користувача в SAP ХАНА

5. Повторна активація/деактивація користувача

Перейдіть до підвузла «Користувач» у розділі «Вузол безпеки» та двічі клацніть його. Відобразиться вікно користувача.

Є значок деактивації користувача. Натисніть на нього

Повторно активувати/деактивувати користувача в SAP ХАНА

З’явиться повідомлення про підтвердження «Popup». Натисніть кнопку «Так».

Повторно активувати/деактивувати користувача в SAP ХАНА

З’явиться повідомлення «Користувач 'ABHI_TEST' дезактивовано». Піктограма деактивації змінюється на назву «Активувати користувача». Тепер ми можемо активувати користувача з того самого значка.

SAP Керування ліцензіями HANA

Для використання потрібен ліцензійний ключ SAP База даних HANA. Ліцензійний ключ можна встановити та видалити за допомогою SAP Студія HANA, SAP Інструмент командного рядка HANA HDBSQL і редактор запитів HANA SQL.

SAP База даних HANA підтримує два типи ліцензійних ключів –

  • Постійний ліцензійний ключ: Постійні ліцензійні ключі дійсні до закінчення терміну дії. Нам потрібно запитати та застосувати ліцензійний ключ до закінчення терміну дії. Якщо термін дії ліцензійного ключа закінчується, тимчасовий ліцензійний ключ автоматично встановлюється на 28 днів.
  • Тимчасовий ліцензійний ключ: Це автоматично встановлюється з новим SAP Встановлення бази даних HANA. Він дійсний протягом 90 днів і пізніше можна подати заявку на постійний ключ SAP.

Авторизація управління ліцензіями

«АДМІНІСТРАТОР ЛІЦЕНЗІЇ» для керування ліцензіями потрібні привілеї.

SAP Аудит HANA

SAP Функції аудиту HANA дозволяють відстежувати та записувати дії, які виконуються в SAP Система HANA. Ці функції слід активувати для системи перед створенням політики аудиту.

Авторизація для SAP Аудит HANA

«АДМІНІСТРАТОР АУДИТУ»Системні привілеї необхідні для SAP Аудит HANA.

Підсумки

У цьому підручнику ми вивчили наступну тему –

  • SAP Огляд безпеки HANA.
  • SAP Автентифікація HANA в деталях.
  • SAP Авторизація HANA в деталях.
  • SAP Метод адміністрування користувачів HANA.
  • SAP Метод адміністрування ролей HANA
  • SAP Процес керування ліцензією HANA.
  • SAP Процес аудиту ролі HANA.