Bezpieczeństwo SAP HANA: kompletny samouczek

Spisie treści:

Anonim
Co to jest Sap Hana Security?

SAP HANA Security chroni ważne dane przed nieautoryzowanym dostępem i zapewnia zgodność standardów i zgodności z przyjętym przez firmę standardem bezpieczeństwa.

SAP HANA udostępnia narzędzie tj. Bazę danych dla wielu dzierżawców, w której można tworzyć wiele baz danych na jednym Systemie SAP HANA. Jest znany jako kontener bazy danych dla wielu dzierżawców. Dlatego SAP HANA zapewnia wszystkie funkcje związane z bezpieczeństwem dla wszystkich kontenerów bazy danych dla wielu dzierżawców.

SAP HANA Zapewnij następujące funkcje związane z bezpieczeństwem -

  • Zarządzanie użytkownikami i rolami
  • Upoważnienie
  • Poświadczenie
  • Szyfrowanie danych w warstwie trwałości
  • Szyfrowanie danych w warstwie sieciowej

Użytkownik i rola SAP HANA

Konfiguracja zarządzania użytkownikami i rolami SAP HANA zależy od architektury, jak poniżej -

  1. Architektura trójwarstwowa.

    SAP HANA może służyć jako relacyjna baza danych w architekturze trójwarstwowej.

    W tej architekturze funkcje zabezpieczeń (autoryzacja, uwierzytelnianie, szyfrowanie i inspekcja) są instalowane na warstwach serwera aplikacji.

    Aplikacja SAP (ERP, BW itp.) Łączy się z bazą danych tylko przy pomocy użytkownika technicznego lub administratora bazy danych (Basis Person). Użytkownik końcowy nie ma bezpośredniego dostępu do bazy danych lub serwera bazy danych.

  1. Architektura 2-warstwowa.

    SAP HANA Extended Application Services (SAP HANA XS) jest oparty na architekturze dwuwarstwowej, w której serwer aplikacji, serwer WWW i środowisko programistyczne są osadzone w jednym systemie.

Uwierzytelnianie SAP HANA

Użytkownik bazy danych określa, kto uzyskuje dostęp do bazy danych SAP HANA. Jest weryfikowany za pomocą procesu o nazwie „Uwierzytelnianie”. SAP HANA obsługuje wiele metod uwierzytelniania. Logowanie jednokrotne (SSO) służy do integracji kilku metod uwierzytelniania.

SAP HANA obsługuje następującą metodę uwierzytelniania -

  • Kerberos: można go użyć w następującym przypadku -
    • Bezpośrednio z klienta JDBC i ODBC (SAP HANA Studio).
    • Gdy protokół HTTP jest używany do uzyskiwania dostępu do SAP HANA XS.
  • Nazwa użytkownika Hasło

    Gdy użytkownik wprowadzi nazwę użytkownika i hasło do bazy danych, baza danych SAP HANA uwierzytelnia użytkownika.

  • Security Assertion Markup Language (SAML)

    SAML może służyć do uwierzytelniania użytkownika SAP HANA, który uzyskuje dostęp do bazy danych SAP HANA bezpośrednio przez ODBC / JDBC. Jest to proces mapowania tożsamości użytkownika zewnętrznego na użytkownika wewnętrznej bazy danych, dzięki czemu użytkownik może zalogować się do bazy danych SAP za pomocą identyfikatora użytkownika zewnętrznego.

  • SAP Logon and Assertion Tickets

    Użytkownik może zostać uwierzytelniony za pomocą biletów logowania lub potwierdzenia, które są konfigurowane i wydawane użytkownikowi w celu utworzenia biletu.

  • Certyfikaty klientów X.509

    W przypadku dostępu do SAP HANA XS przez HTTP do uwierzytelnienia użytkownika można użyć certyfikatów klienta podpisanych przez zaufany urząd certyfikacji (CA).

Autoryzacja SAP HANA

Autoryzacja SAP HANA jest wymagana, gdy użytkownik korzysta z interfejsu klienta (JDBC, ODBC lub HTTP) w celu uzyskania dostępu do bazy danych SAP HANA.

W zależności od nadanych użytkownikowi uprawnień może wykonywać operacje bazodanowe na obiekcie bazy danych. Ta autoryzacja nazywa się „przywilejami”.

Uprawnienia można nadać użytkownikowi bezpośrednio lub pośrednio (poprzez role). Wszystkie uprawnienia przypisane użytkownikom są połączone w jedną jednostkę.

Gdy użytkownik próbuje uzyskać dostęp do dowolnego obiektu bazy danych SAP HANA, system HANA sprawdza autoryzację użytkownika poprzez role użytkownika i bezpośrednio przyznaje uprawnienia.

Po znalezieniu żądanych uprawnień system HANA pomija dalsze kontrole i przyznaje dostęp do żądań obiektów bazy danych.

W SAP HANA następujące uprawnienia to -

Rodzaje uprawnień Opis
Uprawnienia systemowe Kontroluje normalną aktywność systemu. Uprawnienia systemowe są używane głównie do -
  • Tworzenie i usuwanie schematu w bazie danych SAP HANA
  • Zarządzanie użytkownikiem i rolą w bazie danych SAP HANA
  • Monitorowanie i śledzenie bazy danych SAP HANA
  • Wykonywanie kopii zapasowych danych
  • Zarządzanie licencją
  • Zarządzanie wersją
  • Zarządzanie audytem
  • Importowanie i eksportowanie treści
  • Utrzymanie jednostek dostawy
Uprawnienia do obiektów Uprawnienia do obiektów to uprawnienia SQL używane do nadawania uprawnień do odczytu i modyfikowania obiektów bazy danych. Aby uzyskać dostęp do obiektów bazy danych, użytkownik musi mieć uprawnienia do obiektów bazy danych lub schematu, w którym istnieje obiekt bazy danych. Uprawnienia do obiektów można nadać obiektom katalogu (tabela, widok itp.) Lub obiektom niekatalogowym (obiekty programistyczne). Uprawnienia do obiektów są następujące -
  • STWÓRZ DOWOLNE
  • UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE
  • INDEX, TRIGGER, DEBUG, REFERENCES
Uprawnienia analityczne Uprawnienia analityczne umożliwiają dostęp do odczytu danych modelu informacyjnego SAP HANA (widok atrybutów, widok analityczny, widok obliczeń).
  • To uprawnienie jest oceniane podczas przetwarzania zapytania.
  • Uprawnienia analityczne zapewniają różnym użytkownikom dostęp do różnych części danych w
  • Ten sam widok informacji oparty na roli użytkownika.
  • Uprawnienia analityczne są używane w bazie danych SAP HANA do dostarczania danych na poziomie wiersza
Kontrola dla poszczególnych użytkowników, aby zobaczyć dane, jest w tym samym widoku.
Uprawnienia do pakietu Uprawnienia do pakietów służą do autoryzacji działań na poszczególnych pakietach w repozytorium SAP HANA.
Uprawnienia aplikacji Uprawnienia aplikacji są wymagane w rozszerzonych usługach aplikacji In SAP HANA (SAP HANA XS) w celu uzyskania dostępu do aplikacji. Uprawnienia aplikacji są nadawane i odwoływane za pomocą procedur GRANT_APPLICATION_PRIVILEGE i REVOKE_APPLICATION_PRIVILEGE w schemacie _SYS_REPO.
Uprawnienia użytkownika Są to uprawnienia SQL, które użytkownik może nadać własnemu użytkownikowi. DOŁĄCZ DEBUGGER to jedyne uprawnienie, jakie można nadać użytkownikowi.

Administracja użytkownikami SAP HANA i zarządzanie rolami

Aby uzyskać dostęp do bazy danych SAP HANA, wymagane są użytkownicy. W zależności od różnych zasad bezpieczeństwa istnieją dwa typy użytkowników w SAP HANA, jak poniżej -

  1. Użytkownik techniczny (DBA User) - Jest to użytkownik, który bezpośrednio praca z bazą danych SAP HANA z niezbędnymi uprawnieniami. Zwykle ci użytkownicy nie są usuwani z bazy danych.

    Tacy użytkownicy są tworzeni w celu wykonania zadania administracyjnego, takiego jak tworzenie obiektu i nadawanie uprawnień do obiektu bazy danych lub aplikacji.

    System bazy danych SAP HANA domyślnie udostępnia następującego użytkownika jako standardowego użytkownika

  • SYSTEM
  • SYS
  • _SYS_REPO
  1. Baza danych lub prawdziwy użytkownik: każdy użytkownik, który chce pracować na bazie danych SAP HANA, potrzebuje użytkownika bazy danych. Użytkownik bazy danych to prawdziwa osoba, która pracuje na SAP HANA.

    Istnieją dwa typy użytkowników bazy danych, jak poniżej -

Typ użytkownika Opis Przypisana rola
Typowy użytkownik Ten użytkownik może tworzyć obiekty we własnym schemacie i czytać dane w widokach systemowych. Standardowy użytkownik utworzony za pomocą instrukcji „CREATE USER”. Rola PUBLICZNA jest przypisywana do odczytu widoków systemowych.
Ograniczony użytkownik Ograniczony użytkownik nie ma pełnego dostępu SQL za pośrednictwem konsoli SQL i został utworzony za pomocą instrukcji „CREATE RESTRICTED USER”. Jeśli uprawnienia są wymagane do korzystania z dowolnej aplikacji, są one zapewniane za pośrednictwem roli.
  • Użytkownik z ograniczeniami nie może tworzyć obiektów bazy danych.
  • Ograniczony użytkownik nie może przeglądać danych w bazie danych.
  • Użytkownik z ograniczeniami łączy się z bazą danych tylko za pośrednictwem protokołu HTTP.
  • Dostęp ODBC / JDBC dla połączenia klienta musi być włączony za pomocą instrukcji SQL.
 Rola RESTRICTED_USER_ODBC_ACCESS lub RESTRICTED_USER_JDBC_ACCESS wymagana od użytkownika do pełnego dostępu do funkcji ODBC / JDBC

Administrator użytkowników SAP HANA ma dostęp do następujących działań -

  1. Utwórz / usuń użytkownika.
  2. Zdefiniuj i utwórz rolę.
  3. Przyznaj rolę użytkownikowi.
  4. Resetowanie hasła użytkownika.
  5. Ponownie aktywuj / dezaktywuj użytkownika zgodnie z wymaganiami.
  1. Utwórz użytkownika w SAP HANA - użytkownik bazy danych tylko z uprawnieniami ROLA ADMINISTRATORA może tworzyć użytkownika i rolę w SAP HANA.

    Krok 1) Aby utworzyć nowego użytkownika w SAP HANA Studio, przejdź do zakładki bezpieczeństwa, jak pokazano poniżej i wykonaj następujące kroki;

    1. Przejdź do węzła bezpieczeństwa.
    2. Wybierz Użytkownicy (prawy przycisk myszy) -> Nowy użytkownik.

    Krok 2) Pojawi się ekran tworzenia użytkownika.

    1. Wpisz nazwę użytkownika.
    2. Wprowadź hasło użytkownika.
    3. Są to mechanizmy uwierzytelniania, domyślnie do uwierzytelniania używana jest nazwa użytkownika / hasło.

Po kliknięciu przycisku wdrażania zostanie utworzony użytkownik.

2. Zdefiniuj i utwórz rolę

Rola to zbiór uprawnień, które można nadać innym użytkownikom lub rolom. Rola obejmuje uprawnienia do obiektu i aplikacji bazy danych oraz w zależności od charakteru pracy.

Jest to standardowy mechanizm nadawania uprawnień. Uprawnienia można nadać bezpośrednio użytkownikowi. W bazie danych SAP HANA dostępnych jest wiele ról standardowych (np. MODELOWANIE, MONITOROWANIE itp.).

Możemy użyć roli standardowej jako szablonu do tworzenia roli niestandardowej.

Rola może zawierać następujące uprawnienia -

  • Uprawnienia systemowe do zadań administracyjnych i programistycznych (ODCZYT KATALOGU, ADMINISTRATOR AUDYTU itp.)
  • Uprawnienia do obiektów bazy danych (SELECT, INSERT, DELETE itp.)
  • Uprawnienia analityczne do widoku informacji SAP HANA
  • Uprawnienia do pakietów repozytorium (REPO.READ, REPO.EDIT_NATIVE_OBJECTS itp.)
  • Uprawnienia aplikacji dla aplikacji SAP HANA XS.
  • Uprawnienia użytkownika (do debugowania procedury).

Tworzenie ról

Krok 1) Na tym etapie

  1. Przejdź do węzła zabezpieczeń w systemie SAP HANA.
  2. Wybierz węzeł roli (prawy przycisk myszy) i wybierz opcję Nowa rola.

Krok 2) Zostanie wyświetlony ekran tworzenia roli.

  1. Podaj nazwę roli w sekcji Nowa blokada roli.
  2. Wybierz kartę Przyznana rola i kliknij ikonę „+”, aby dodać rolę standardową lub wyjściową.
  3. Wybierz żądaną rolę (np. MODELOWANIE, MONITOROWANIE itp.)

KROK 3) Na tym etapie

  1. Wybrana rola zostanie dodana w zakładce Przyznane role.
  2. Uprawnienia można przypisać użytkownikowi bezpośrednio, wybierając uprawnienia systemowe, uprawnienia do obiektów, uprawnienia analityczne, uprawnienia do pakietu itp.
  3. Kliknij ikonę wdrażania, aby utworzyć rolę.

Zaznacz opcję „Przyznawalne innym użytkownikom i rolom”, jeśli chcesz przypisać tę rolę innemu użytkownikowi i roli.

3. Przyznaj rolę użytkownikowi

KROK 1) Na tym etapie przypiszemy rolę „MODELLING_VIEW” innemu użytkownikowi „ABHI_TEST”.

  1. Przejdź do węzła użytkownika w węźle zabezpieczeń i kliknij go dwukrotnie. Pojawi się okno użytkownika.
  2. Kliknij ikonę „+” przyznanych ról.
  3. Pojawi się wyskakujące okienko, Wyszukaj nazwę roli, która zostanie przypisana użytkownikowi.

KROK 2) Na tym etapie rola „MODELLING_VIEW” zostanie dodana pod rolą.

KROK 3) Na tym etapie

  1. Kliknij przycisk Wdróż.
  2. Zostanie wyświetlony komunikat „Użytkownik 'ABHI_TEST” zmieniony.

4. Resetowanie hasła użytkownika

Jeśli hasło użytkownika wymaga zresetowania, przejdź do węzła podrzędnego użytkownika w węźle zabezpieczeń i kliknij je dwukrotnie. Pojawi się okno użytkownika.

KROK 1) Na tym etapie

  1. Wprowadź nowe hasło.
  2. Enter Potwierdź hasło.

KROK 2) Na tym etapie

  1. Kliknij przycisk Wdróż.
  2. Wyświetlany jest komunikat „Użytkownik 'ABHI_TEST” został zmieniony.

5. Ponownie aktywuj / dezaktywuj użytkownika

Przejdź do węzła użytkownika w węźle zabezpieczeń i kliknij go dwukrotnie. Pojawi się okno użytkownika.

Jest ikona Dezaktywuj użytkownika. Kliknij na to

Pojawi się komunikat potwierdzający „Popup”. Kliknij przycisk „Tak”.

Zostanie wyświetlony komunikat „Użytkownik 'ABHI_TEST' dezaktywowany”. Ikona Dezaktywuj zmienia się z nazwą „Aktywuj użytkownika”. Teraz możemy aktywować użytkownika za pomocą tej samej ikony.

Zarządzanie licencjami SAP HANA

Klucz licencyjny jest wymagany do korzystania z bazy danych SAP HANA. Klucz licencyjny można zainstalować i usunąć za pomocą SAP HANA Studio, narzędzia wiersza poleceń SAP HANA HDBSQL i edytora zapytań HANA SQL.

Baza danych SAP HANA obsługuje dwa typy kluczy licencyjnych -

  • Stały klucz licencyjny: Stałe klucze licencyjne są ważne do daty wygaśnięcia. Musimy poprosić o klucz licencyjny i zastosować go przed wygaśnięciem. Jeśli klucz licencyjny wygaśnie, tymczasowy klucz licencyjny jest instalowany automatycznie na 28 dni.
  • Tymczasowy klucz licencyjny: jest automatycznie instalowany wraz z nową instalacją bazy danych SAP HANA. Jest ważny przez 90 dni i później może ubiegać się o stały klucz od SAP.

Autoryzacja zarządzania licencjami

Do zarządzania licencjami wymagane są uprawnienia „ADMINISTRATOR LICENCJI” .

Audyt SAP HANA

Funkcje audytu SAP HANA umożliwiają monitorowanie i rejestrowanie działań wykonywanych w systemie SAP HANA. Te funkcje należy aktywować dla systemu przed utworzeniem zasad audytu.

Autoryzacja do audytu SAP HANA

Uprawnienia systemowe „ADMINISTRATOR AUDYTU” wymagane do audytu SAP HANA.

Podsumowanie :

W tym samouczku nauczyliśmy się następującego tematu -

  • Omówienie zabezpieczeń SAP HANA.
  • Szczegółowe informacje na temat uwierzytelniania SAP HANA.
  • Szczegóły autoryzacji SAP HANA.
  • Metoda administrowania użytkownikami SAP HANA.
  • Metoda administrowania rolami SAP HANA
  • Proces zarządzania licencjami SAP HANA.
  • Proces audytu ról SAP HANA.