Безпека SAP HANA: Повна інструкція

Зміст:

Anonim
Що таке Sap Hana Security?

SAP HANA Security захищає важливі дані від несанкціонованого доступу та гарантує, що стандарти та відповідність відповідають стандарту безпеки, прийнятому компанією.

SAP HANA надає можливість, тобто багатонаціональну базу даних, в якій можна створити кілька баз даних в одній системі SAP HANA. Він відомий як багатонаціональний контейнер бази даних. Тож SAP HANA надає всі функції, пов’язані з безпекою, для всіх контейнерів багатонаціональних баз даних.

SAP HANA забезпечує наступну функцію, пов’язану з безпекою -

  • Управління користувачами та ролями
  • Авторизація
  • Аутентифікація
  • Шифрування даних на рівні стійкості
  • Шифрування даних на мережевому рівні

Користувач і роль SAP HANA

Конфігурація керування користувачами та ролями SAP HANA залежить від архітектури, як показано нижче -

  1. 3-рівнева архітектура.

    SAP HANA може використовуватися як реляційна база даних у 3-рівневій архітектурі.

    У цій архітектурі функції захисту (авторизація, автентифікація, шифрування та аудит) встановлюються на рівнях сервера додатків.

    Додаток SAP (ERP, BW тощо) підключається до бази даних лише за допомогою технічного користувача або адміністратора бази даних (Basis Person). Кінцевий користувач не може безпосередньо отримати доступ до бази даних або сервера баз даних.

  1. 2-рівнева архітектура.

    Розширені служби програм SAP HANA (SAP HANA XS) засновані на архітектурі 2-го рівня, в якій сервер додатків, веб-сервер та середовище розробки вбудовані в єдину систему.

Аутентифікація SAP HANA

Користувач бази даних визначає, хто отримує доступ до бази даних SAP HANA. Це перевіряється за допомогою процесу під назвою "Аутентифікація". SAP HANA підтримує багато методів автентифікації. Єдиний вхід (SSO) використовується для інтеграції декількох методів автентифікації.

SAP HANA підтримує такий спосіб автентифікації -

  • Kerberos: Він може бути використаний у наступному випадку -
    • Безпосередньо від JDBC та ODBC-клієнта (SAP HANA Studio).
    • Коли HTTP використовується для доступу до SAP HANA XS.
  • Ім'я користувача Пароль

    Коли користувач вводить своє ім’я користувача та пароль бази даних, тоді база даних SAP HANA аутентифікує користувача.

  • Мова розмітки тверджень безпеки (SAML)

    SAML можна використовувати для автентифікації користувача SAP HANA, який отримує доступ до бази даних SAP HANA безпосередньо через ODBC / JDBC. Це процес зіставлення ідентифікації зовнішнього користувача з внутрішнім користувачем бази даних, тому користувач може ввійти в базу даних sap із зовнішнім ідентифікатором користувача.

  • Квитки на вхід та затвердження SAP

    Користувач може бути автентифікований за допомогою квитків на вхід або твердження, які налаштовуються та видаються користувачеві для створення квитка.

  • Сертифікати клієнтів X.509

    Коли SAP HANA XS Access по HTTP, клієнтські сертифікати, підписані надійним Центром сертифікації (CA), можуть використовуватися для автентифікації користувача.

Авторизація SAP HANA

Авторизація SAP HANA потрібна, коли користувач використовує клієнтський інтерфейс (JDBC, ODBC або HTTP) для доступу до бази даних SAP HANA.

Залежно від дозволу, наданого користувачеві, він може виконувати операції з базою даних над об'єктом бази даних. Ця авторизація називається "привілеї".

Привілеї можуть надаватися користувачеві прямо або опосередковано (через ролі). Усі привілеї, призначені для користувачів, об'єднані як єдине ціле.

Коли користувач намагається отримати доступ до будь-якого об'єкта бази даних SAP HANA, система HANA здійснює перевірку авторизації користувача через ролі користувача та безпосередньо надає привілеї.

Коли запитуються привілеї знайдені, система HANA пропускає подальші перевірки та надає доступ до запитів об’єктів бази даних.

У SAP HANA наступні привілеї -

Типи пільг Опис
Системні привілеї Він контролює нормальну діяльність системи. Системні привілеї в основному використовуються для -
  • Створення та видалення схеми в базі даних SAP HANA
  • Управління користувачами та ролями в базі даних SAP HANA
  • Моніторинг та трасування бази даних SAP HANA
  • Виконання резервних копій даних
  • Управлінська ліцензія
  • Керуюча версія
  • Управління аудитом
  • Імпорт та експорт вмісту
  • Ведення одиниць доставки
Привілеї об’єкта Привілеї об’єктів - це привілеї SQL, які використовуються для надання дозволу на читання та зміну об’єктів бази даних. Для доступу до об'єктів бази даних користувачеві потрібні привілеї на об'єкти бази даних або на схемі, в якій існує об'єкт бази даних. Привілеї об’єктів можуть надаватися об’єктам каталогу (таблиця, подання тощо) або об’єктам, що не належать до каталогу (об’єкти розробки). Привілеї об’єкта наведені нижче -
  • СТВОРИТИ БУДЬ-ЯКУ
  • ОНОВИТИ, ВСТАВИТИ, ВИБРАТИ, ВИДАЛИТИ, ВПАДАТИ, ЗМІНИТИ, ВИКОНАТИ
  • ІНДЕКС, ТРИГГЕР, НАЛАДКА, ДОВІДКА
Аналітичні привілеї Аналітичні привілеї використовуються для надання доступу для читання даних інформаційної моделі SAP HANA (подання атрибутів, аналітичний вигляд, подання обчислення).
  • Цей привілей обчислюється під час обробки запиту.
  • Аналітичні привілеї надають різний доступ користувачів до різних частин даних у
  • Те саме подання інформації на основі ролі користувача.
  • Аналітичні привілеї використовуються в базі даних SAP HANA для надання даних на рівні рядків
Елемент керування для перегляду даних окремими користувачами знаходиться в одному і тому ж поданні.
Пакетні привілеї Привілеї пакетів використовуються для надання дозволу на дії з окремими пакетами у сховищі SAP HANA.
Привілеї програми Привілеї програми потрібні в Розширених послугах програм SAP HANA (SAP HANA XS) для доступу до програми. Привілеї програми надаються та скасовуються за допомогою процедур GRANT_APPLICATION_PRIVILEGE та REVOKE_APPLICATION_PRIVILEGE у схемі _SYS_REPO.
Привілеї для Користувача Це привілеї SQL, які користувач може надати власному користувачеві. ATTACH DEBUGGER - це єдина привілея, яка може бути надана користувачеві.

Адміністрація користувачів і управління ролями SAP HANA

Щоб отримати доступ до бази даних SAP HANA, потрібні користувачі. Залежно від різної політики безпеки, у SAP HANA є два типи користувачів, як показано нижче -

  1. Технічний Користувач (DBA користувача) - це користувач , який безпосередньо працювати з SAP HANA базов даних з необхідними привілеями. Зазвичай ці користувачі не видаляються з бази даних.

    Ці користувачі створюються для адміністративних завдань, таких як створення об'єкта та надання привілеїв об'єкту бази даних або додатку.

    Система бази даних SAP HANA за замовчуванням забезпечує наступного користувача як стандартного користувача

  • СИСТЕМА
  • SYS
  • _SYS_REPO
  1. База даних або реальний користувач: Кожному користувачеві, який хоче працювати над базою даних SAP HANA, потрібен користувач бази даних. Користувач бази даних - це реальна особа, яка працює над SAP HANA.

    Існує два типи користувачів бази даних, як показано нижче -

Тип користувача Опис Роль призначена
Стандартний користувач Цей користувач може створювати об'єкти у власній схемі та читає дані у системних поданнях. Стандартний користувач створений за допомогою оператора "CREATE USER". Роль PUBLIC призначена для системних подань зчитування.
Користувач з обмеженим доступом Користувач з обмеженим доступом не має повного доступу до SQL через консоль SQL і створений за допомогою оператора "CREATE RESTRICTED USER". Якщо для використання будь-якої програми потрібні привілеї, то вони надаються через роль.
  • Користувач з обмеженим доступом не може створювати об'єкти бази даних.
  • Користувач з обмеженим доступом не може переглядати дані в базі даних.
  • Обмежений користувач підключається до бази даних лише через HTTP.
  • Доступ ODBC / JDBC для підключення клієнта повинен бути ввімкнений за допомогою оператора SQL.
 RESTRICTED_USER_ODBC_ACCESS або RESTRICTED_USER_JDBC_ACCESS роль, необхідна користувачеві для повного доступу до функціональних можливостей ODBC / JDBC

Адміністратор користувача SAP HANA має доступ до наступних дій -

  1. Створення / видалення користувача.
  2. Визначте та створіть роль.
  3. Надайте Роль користувачеві.
  4. Скидання пароля користувача.
  5. Повторно активувати / деактивувати користувача відповідно до вимог.
  1. Створити користувача в SAP HANA - лише користувач бази даних з привілеями ROLE ADMIN може створювати користувача та роль у SAP HANA.

    Крок 1) Щоб створити нового користувача в SAP HANA Studio, перейдіть на вкладку безпеки, як показано нижче, і виконайте такі дії;

    1. Перейдіть до вузла безпеки.
    2. Виберіть Користувачі (клацніть правою кнопкою миші) -> Новий користувач.

    Крок 2) З'явиться екран створення користувача.

    1. Введіть ім'я користувача.
    2. Введіть пароль для користувача.
    3. Це механізм автентифікації, за замовчуванням для автентифікації використовується ім’я користувача / пароль.

Натиснувши кнопку розгортання, буде створено користувача.

2. Визначте та створіть роль

Роль - це сукупність привілеїв, які можуть бути надані іншим користувачам або ролі. Роль включає привілеї для об'єкта бази даних та програми та залежно від характеру завдання.

Це стандартний механізм надання пільг. Привілеї можуть бути надані безпосередньо користувачеві. У базі даних SAP HANA доступно багато стандартних ролей (наприклад, МОДЕЛЮВАННЯ, МОНІТОРИНГ тощо).

Ми можемо використовувати стандартну роль як шаблон для створення власної ролі.

Роль може містити такі привілеї -

  • Системні привілеї для адміністративних завдань та завдань розробки (КАТАЛОГ ЧИТАННЯ, АУДИТ АДМІНІСТРАТОР тощо)
  • Привілеї об’єктів для об’єктів бази даних (SELECT, INSERT, DELETE тощо)
  • Аналітичні привілеї для перегляду інформації SAP HANA
  • Привілеї пакетів для пакетів сховищ (REPO.READ, REPO.EDIT_NATIVE_OBJECTS тощо)
  • Привілеї програм для програм SAP HANA XS.
  • Привілеї для користувача (для налагодження процедури).

Створення ролей

Крок 1) На цьому кроці

  1. Перейдіть до вузла безпеки в системі SAP HANA.
  2. Виберіть Вузол ролі (клацніть правою кнопкою миші) та виберіть Нову роль.

Крок 2) Відобразиться екран створення ролі.

  1. Укажіть ім'я ролі в розділі Новий блок ролей.
  2. Виберіть вкладку Granted Role та натисніть піктограму "+", щоб додати стандартну роль або закрити роль.
  3. Виберіть бажану роль (наприклад, МОДЕЛЮВАННЯ, МОНІТОРИНГ тощо)

КРОК 3) На цьому кроці:

  1. Вибрану роль додано на вкладці "Рольові ролі".
  2. Привілеї можна призначити користувачеві безпосередньо, вибравши системні привілеї, привілеї об’єкта, аналітичні привілеї, привілеї пакетів тощо.
  3. Клацніть на піктограму розгортання, щоб створити роль.

Поставте прапорець "Доступно для інших користувачів та ролей", якщо ви хочете призначити цю роль іншому користувачу та ролі.

3. Надання ролі користувачеві

КРОК 1) На цьому кроці ми призначимо роль "MODELLING_VIEW" іншому користувачеві "ABHI_TEST".

  1. Перейдіть до підвузла Користувач у розділі Вузол безпеки та двічі клацніть його. З'явиться вікно користувача.
  2. Клацніть на піктограму "+" Назначені ролі.
  3. З'явиться спливаюче вікно, назва ролі пошуку, яке буде призначене користувачеві.

КРОК 2) На цьому кроці в ролі буде додана роль "MODELLING_VIEW".

КРОК 3) На цьому кроці:

  1. Клацніть на кнопку розгортання.
  2. Відображається повідомлення "Користувач 'ABHI_TEST" змінено.

4. Скидання пароля користувача

Якщо пароль користувача потрібно скинути, перейдіть до підвузла Користувач у розділі Вузол безпеки та двічі клацніть на ньому. З'явиться вікно користувача.

КРОК 1) На цьому кроці

  1. Введіть новий пароль.
  2. Введіть Підтвердити пароль.

КРОК 2) На цьому кроці:

  1. Клацніть на кнопку розгортання.
  2. Відображається повідомлення "Користувач 'ABHI_TEST" змінено.

5. Повторно активувати / Деактивувати користувача

Перейдіть до підвузла Користувач у розділі Вузол безпеки та двічі клацніть його. З'явиться вікно користувача.

Існує значок Деактивувати користувача. Клацніть на нього

З'явиться повідомлення про підтвердження "спливаюче вікно". Натисніть кнопку «Так».

З'явиться повідомлення "Користувач" ABHI_TEST "вимкнено". Піктограма деактивації змінюється на ім'я "Активувати користувача". Тепер ми можемо активувати користувача за допомогою тієї ж піктограми.

Управління ліцензіями SAP HANA

Для використання бази даних SAP HANA потрібен ліцензійний ключ. Ліцензійний ключ можна встановити та видалити за допомогою SAP HANA Studio, інструменту командного рядка SAP HANA HDBSQL та редактора запитів HANA SQL.

База даних SAP HANA підтримує два типи ліцензійних ключів -

  • Постійний ліцензійний ключ: Постійні ліцензійні ключі дійсні до дати закінчення терміну дії. Нам потрібно подати запит та застосувати ліцензійний ключ до закінчення терміну дії. Якщо термін дії ліцензійного ключа закінчується, тимчасовий ліцензійний ключ автоматично встановлюється на 28 днів.
  • Тимчасовий ліцензійний ключ: він автоматично встановлюється з новою інсталяцією бази даних SAP HANA. Він діє 90 днів, а пізніше може подати заявку на отримання постійного ключа від SAP.

Авторизація управління ліцензіями

Для керування ліцензіями потрібні привілеї "ЛІЦЕНЗІЙНИЙ АДМІНІСТРАТОР" .

Аудит SAP HANA

Функції аудиту SAP HANA дозволяють контролювати та записувати дії, які виконуються в системі SAP HANA. Ці функції слід активувати для системи перед створенням політики аудиту.

Дозвіл на аудит SAP HANA

«АУДИТ ADMIN» Системні привілеї , необхідні для SAP HANA аудиту.

Короткий зміст :

У цьому підручнику ми вивчили таку тему -

  • Огляд безпеки SAP HANA.
  • Детальна аутентифікація SAP HANA.
  • Детально авторизація SAP HANA.
  • Метод адміністрування користувачів SAP HANA.
  • Метод адміністрування ролі SAP HANA
  • Процес управління ліцензією SAP HANA.
  • Процес аудиту ролі SAP HANA.