„SAP HANA Security“: užpildykite mokymo programą

Kas yra „Sap Hana Security“?

„SAP HANA Security“ apsaugo svarbius duomenis nuo neteisėtos prieigos ir užtikrina, kad standartai ir atitikimas atitiktų įmonės patvirtintus saugos standartus.

SAP HANA suteikia galimybę, ty „Multitenant“ duomenų bazę, kurioje vienoje SAP HANA sistemoje galima sukurti kelias duomenų bazes. Jis žinomas kaip daugiapakopis duomenų bazės konteineris. Taigi „SAP HANA“ teikia visas su saugumu susijusias visų daugialypių duomenų bazių talpyklų funkcijas.

SAP HANA Pateikite šią su sauga susijusią funkciją -

  • Vartotojo ir vaidmens valdymas
  • Leidimas
  • Autentifikavimas
  • Duomenų šifravimas patvarumo sluoksnyje
  • Duomenų šifravimas tinklo sluoksnyje

SAP HANA vartotojas ir vaidmuo

SAP HANA vartotojo ir vaidmens valdymo konfigūracija priklauso nuo toliau nurodytos architektūros -

  1. 3 pakopų architektūra.

    SAP HANA gali būti naudojama kaip reliacinė duomenų bazė 3 pakopų architektūroje.

    Šioje architektūroje saugos funkcijos (autorizavimas, autentifikavimas, šifravimas ir auditas) yra įdiegtos programų serverio sluoksniuose.

    SAP programa (ERP, BW ir kt.) Prisijungia prie duomenų bazės tik padedama techninio vartotojo ar duomenų bazės administratoriaus („Basis Person“). Galutinis vartotojas negali tiesiogiai pasiekti duomenų bazės ar duomenų bazės serverio.

  1. 2 pakopų architektūra.

    „SAP HANA Extended Application Services“ (SAP HANA XS) remiasi 2 pakopų architektūra, kurioje „Application Server“, žiniatinklio serveris ir „Development Environment“ yra integruoti į vieną sistemą.

SAP HANA autentifikavimas

Duomenų bazės vartotojas nustato, kas naudojasi SAP HANA duomenų baze. Tai patikrinama per procesą, pavadintą „Autentifikavimas“. SAP HANA palaiko daugybę autentifikavimo metodų. Vienkartinis prisijungimas (SSO) naudojamas integruoti kelis autentifikavimo metodus.

SAP HANA palaiko šį autentifikavimo metodą -

  • „Kerberos“: jis gali būti naudojamas tokiu atveju -
    • Tiesiogiai iš JDBC ir ODBC kliento („SAP HANA Studio“).
    • Kai HTTP naudojamas norint pasiekti SAP HANA XS.
  • Vartotojo vardas Slaptažodis

    Kai vartotojas įveda savo duomenų bazės vartotojo vardą ir slaptažodį, tada SAP HANA duomenų bazė patvirtina vartotojo tapatybę.

  • Saugumo tvirtinimo kalba (SAML)

    SAML gali būti naudojamas autentifikuoti SAP HANA vartotoją, kuris prieina SAP HANA duomenų bazę tiesiogiai per ODBC / JDBC. Tai yra išorinio vartotojo tapatybės susiejimo su vidinės duomenų bazės vartotoju procesas, todėl vartotojas gali prisijungti prie duomenų bazės su išoriniu vartotojo ID.

  • SAP prisijungimo ir tvirtinimo bilietai

    Vartotoją galima patvirtinti prisijungimo arba patvirtinimo bilietais, kurie sukonfigūruojami ir išduodami vartotojui sukurti bilietą.

  • X.509 klientų sertifikatai

    Kai SAP HANA XS prieiga per HTTP, vartotojo autentifikavimui gali būti naudojami patikimos sertifikavimo institucijos (CA) pasirašyti kliento sertifikatai.

SAP HANA autorizacija

SAP HANA prieigos teisė reikalinga, kai vartotojas naudojasi kliento sąsaja (JDBC, ODBC arba HTTP) norėdamas patekti į SAP HANA duomenų bazę.

Priklausomai nuo vartotojui suteiktos autorizacijos, jis gali atlikti duomenų bazės operacijas duomenų bazės objekte. Šis įgaliojimas vadinamas „privilegijomis“.

Privilegijos gali būti suteikiamos vartotojui tiesiogiai arba netiesiogiai (per vaidmenis). Visos vartotojams priskirtos privilegijos yra sujungtos kaip vienas vienetas.

Kai vartotojas bando pasiekti bet kurį SAP HANA duomenų bazės objektą, HANA sistema atlieka vartotojo autorizacijos patikrą naudodama vartotojo vaidmenis ir tiesiogiai suteikia teises.

Kai prašoma rasti privilegijas, HANA sistema praleidžia tolesnius patikrinimus ir suteikia prieigą prie užklausos duomenų bazės objektų.

SAP HANA turi šias privilegijas:

Privilegijų tipai apibūdinimas
Sistemos privilegijos Jis kontroliuoja normalią sistemos veiklą. Sistemos privilegijos daugiausia naudojamos -
  • Schemos kūrimas ir ištrynimas SAP HANA duomenų bazėje
  • Vartotojo ir vaidmens valdymas SAP HANA duomenų bazėje
  • SAP HANA duomenų bazės stebėjimas ir sekimas
  • Duomenų atsarginių kopijų darymas
  • Licencijos valdymas
  • Tvarkoma versija
  • Audito valdymas
  • Turinio importavimas ir eksportavimas
  • Pristatymo vienetų priežiūra
Objekto privilegijos Objekto privilegijos yra SQL privilegijos, kurios naudojamos suteikiant prieigą skaityti ir modifikuoti duomenų bazės objektus. Norėdami pasiekti duomenų bazės objektus, vartotojui reikia duomenų bazės objektų arba schemos, kurioje yra duomenų bazės objektas, teisių. Objektų privilegijos gali būti suteiktos katalogo objektams (lentelė, rodinys ir kt.) Arba ne katalogo objektams (kūrimo objektams). Objektų privilegijos yra tokios, kaip nurodyta toliau -
  • SUKURK bet kokį
  • ATNAUJINKITE, ĮDĖKITE, PASIRINKITE, IŠTRINKITE, LAŠINTI, KEISTI, VYKDYTI
  • RODYKLĖ, TRIGGERIS, KLAIDA, NUORODOS
Analitinės privilegijos Analitinės privilegijos yra naudojamos leisti skaityti SAP HANA informacinio modelio duomenis (atributų rodinys, analitinis rodinys, skaičiavimo rodinys).
  • Ši privilegija vertinama apdorojant užklausą.
  • Analitinės privilegijos suteikia skirtingą vartotojo prieigą prie skirtingos duomenų dalies
  • Ta pati informacijos peržiūra, pagrįsta vartotojo vaidmeniu.
  • Analitinės privilegijos yra naudojamos SAP HANA duomenų bazėje eilutės lygio duomenims pateikti
Valdymas atskiriems vartotojams matyti duomenis yra tame pačiame vaizde.
Paketo privilegijos Paketo privilegijos naudojamos suteikti prieigą prie veiksmų su atskirais paketais SAP HANA saugykloje.
Taikymo privilegijos Programos „SAP HANA Extended Application Services“ (SAP HANA XS) prieigos programai reikalingos programos privilegijos. Programos privilegijos suteikiamos ir atšaukiamos naudojant procedūrasGRANT_APPLICATION_PRIVILEGE ir REVOKE_APPLICATION_PRIVILEGE schemoje _SYS_REPO.
Vartotojo privilegijos Tai yra SQL privilegijos, kurias vartotojas gali suteikti savo vartotojams. ATTACH DEBUGGER yra vienintelė privilegija, kurią galima suteikti vartotojui.

SAP HANA vartotojų administravimas ir vaidmenų valdymas

Norint pasiekti SAP HANA duomenų bazę, reikalingi vartotojai. Atsižvelgiant į skirtingą saugos politiką, SAP HANA yra dviejų tipų vartotojai, kaip nurodyta toliau -

  1. Techninė Vartotojas (DBA Vartotojas) - Jis yra vartotojas, kuris tiesiogiai dirbti su SAP HANA duomenų bazę būtinų privilegijų. Paprastai šie vartotojai neištrinami iš duomenų bazės.

    Šie vartotojai yra sukurti atliekant administracinę užduotį, pvz., Kuriant objektą ir suteikiant privilegijas duomenų bazės objekte ar programoje.

    SAP HANA duomenų bazių sistema pagal numatytuosius nustatymus teikia šį vartotoją kaip standartinį vartotojo

  • SISTEMA
  • SYS
  • _SYS_REPO
  1. Duomenų bazė arba tikrasis vartotojas: Kiekvienam vartotojui, norinčiam dirbti su SAP HANA duomenų baze, reikia duomenų bazės vartotojo. Duomenų bazės vartotojas yra tikras asmuo, dirbantis SAP HANA.

    Yra du duomenų bazių naudotojų tipai, kaip nurodyta toliau:

Vartotojo tipas apibūdinimas Paskirtas vaidmuo
Standartinis vartotojas Šis vartotojas gali kurti objektus savo schemoje ir nuskaityti duomenis sistemos rodiniuose. Standartinis vartotojas sukurtas su sakiniu „CREATE USER“. PUBLIC vaidmuo priskiriamas skaitytų sistemos rodiniams.
Ribotas vartotojas Ribotas vartotojas neturi visiškos SQL prieigos per „SQL Console“ ir yra sukurtas su sakiniu „CREATE RESTRICTED USER“. Jei bet kuriai programai naudoti reikalingos privilegijos, jos suteikiamos per vaidmenį.
  • Ribotas vartotojas negali kurti duomenų bazės objektų.
  • Ribotas vartotojas negali peržiūrėti duomenų bazės duomenų.
  • Ribotas vartotojas prisijungia prie duomenų bazės tik per HTTP.
  • ODBC / JDBC prieiga kliento ryšiui turi būti įgalinta naudojant SQL sakinį.
 Vartotojui reikalingas vaidmuo „RESTRICTED_USER_ODBC_ACCESS“ arba „RESTRICTED_USER_JDBC_ACCESS“, kad jis galėtų visapusiškai naudotis ODBC / JDBC funkcijomis

SAP HANA vartotojo administratorius turi prieigą prie šios veiklos:

  1. Sukurti / ištrinti vartotoją.
  2. Apibrėžkite ir sukurkite vaidmenį.
  3. Suteikite vartotojui vaidmenį.
  4. Iš naujo nustatomas vartotojo slaptažodis.
  5. Pakartotinai suaktyvinkite / išjunkite vartotoją pagal reikalavimą.
  1. Kurti vartotoją tik SAP HANA duomenų bazės vartotojas, turintis ROLE ADMIN teises, gali sukurti vartotoją ir vaidmenį SAP HANA.

    1 žingsnis) Norėdami sukurti naują vartotoją „SAP HANA Studio“, eikite į saugos skirtuką, kaip parodyta žemiau, ir atlikite šiuos veiksmus;

    1. Eikite į saugos mazgą.
    2. Pasirinkite Vartotojai (dešiniuoju pelės mygtuku spustelėkite) -> Naujas vartotojas.

    2 žingsnis) Pasirodys vartotojo kūrimo ekranas.

    1. Įveskite vartotojo vardą.
    2. Įveskite vartotojo slaptažodį.
    3. Tai yra autentifikavimo mechanizmas, pagal numatytuosius nustatymus autentifikavimui naudojamas vartotojo vardas / slaptažodis.

Spustelėjus diegimo mygtuką bus sukurtas vartotojas.

2. Apibrėžkite ir sukurkite vaidmenį

Vaidmuo yra privilegijų rinkinys, kurį galima suteikti kitiems vartotojams ar vaidmeniui. Vaidmuo apima duomenų bazės objekto ir programos teises ir atsižvelgiant į darbo pobūdį.

Tai yra standartinis privilegijų suteikimo mechanizmas. Privilegijos gali būti tiesiogiai suteikiamos vartotojui. SAP HANA duomenų bazėje yra daugybė standartinių vaidmenų (pvz., MODELIAVIMAS, MONITORINGAS ir kt.).

Standartinį vaidmenį galime naudoti kaip šabloną kurdami pasirinktinį vaidmenį.

Vaidmenyje gali būti šios privilegijos:

  • Sistemos privilegijos atliekant administracinę ir plėtros užduotį (KATALOGAS SKAITYTI, AUDITO ADMINISTRAVIMAS ir kt.)
  • Duomenų bazės objektų privilegijos (SELECT, INSERT, DELETE ir kt.)
  • Analitinės SAP HANA informacijos rodinio privilegijos
  • Saugyklos paketų paketų privilegijos (REPO.READ, REPO.EDIT_NATIVE_OBJECTS ir kt.)
  • Programų privilegijos SAP HANA XS programoms.
  • Vartotojo privilegijos (procedūros derinimui).

Vaidmenų kūrimas

1 žingsnis) Šiame žingsnyje

  1. Eikite į saugos mazgą SAP HANA sistemoje.
  2. Pasirinkite Vaidmens mazgas (dešiniuoju pelės mygtuku spustelėkite) ir pasirinkite Naujas vaidmuo.

2 žingsnis) Rodomas vaidmens kūrimo ekranas.

  1. Suteikite vaidmens pavadinimą skiltyje Naujas vaidmenų blokas.
  2. Pasirinkite skirtuką „Suteiktas vaidmuo“ ir spustelėkite piktogramą „+“, kad pridėtumėte standartinį vaidmenį arba išeinantį vaidmenį.
  3. Pasirinkite norimą vaidmenį (pvz., MODELIAVIMAS, MONITORINGAS ir kt.)

3 ŽINGSNIS . Šiame žingsnyje

  1. Pasirinktas vaidmuo pridedamas skirtuke „Suteikti vaidmenys“.
  2. Privilegijas galima tiesiogiai priskirti vartotojui, pasirinkus sistemos privilegijas, objekto privilegijas, analitines privilegijas, paketų privilegijas ir kt.
  3. Spustelėkite diegimo piktogramą, kad sukurtumėte vaidmenį.

Pažymėkite parinktį „Teikiama kitiems vartotojams ir vaidmenims“, jei norite priskirti šį vaidmenį kitam vartotojui ir vaidmeniui.

3. Suteikite vaidmenį vartotojui

1 ŽINGSNIS. Šiame žingsnyje priskirsime vaidmenį „MODELLING_VIEW“ kitam vartotojui „ABHI_TEST“.

  1. Eikite į „User“ mazgą po „Security node“ ir dukart spustelėkite jį. Bus rodomas vartotojo langas.
  2. Spustelėkite piktogramą Suteikti vaidmenys „+“.
  3. Pasirodys iššokantis langas „Search Role“ vardas, kuris bus priskirtas vartotojui.

2 ŽINGSNIS) Šiame žingsnyje vaidmuo „MODELLING_VIEW“ bus pridėtas prie vaidmens.

3 ŽINGSNIS . Šiame žingsnyje

  1. Spustelėkite mygtuką „Diegti“.
  2. Rodomas pranešimas „Vartotojo ABHI_TEST“ pakeistas.

4. Vartotojo slaptažodžio nustatymas iš naujo

Jei reikia iš naujo nustatyti vartotojo slaptažodį, tada eikite į „Vartotojo“ mazgo skyrių „Saugos mazgas“ ir dukart spustelėkite jį. Bus rodomas vartotojo langas.

1 ŽINGSNIS. Šiame žingsnyje

  1. Įveskite naują slaptažodį.
  2. Įveskite Patvirtinti slaptažodį.

2 ŽINGSNIS) Šiame žingsnyje

  1. Spustelėkite mygtuką „Diegti“.
  2. Rodomas pranešimas „Vartotojo ABHI_TEST“ pakeistas.

5. Iš naujo suaktyvinkite / išjunkite vartotoją

Eikite į „User“ mazgą po „Security node“ ir dukart spustelėkite jį. Bus rodomas vartotojo langas.

Yra piktograma „Išjungti vartotoją“. Spustelėkite jį

Bus parodytas patvirtinimo pranešimas „Popup“. Spustelėkite mygtuką „Taip“.

Bus rodomas pranešimas „Vartotojas„ ABHI_TEST “išjungtas“. Piktograma „Suaktyvinti“ pasikeičia pavadinimu „Suaktyvinti vartotoją“. Dabar mes galime suaktyvinti vartotoją iš tos pačios piktogramos.

SAP HANA licencijų valdymas

Norint naudoti SAP HANA duomenų bazę, reikalingas licencijos raktas. Licencijos raktą galima įdiegti ir ištrinti naudojant „SAP HANA Studio“, „SAP HANA HDBSQL“ komandų eilutės įrankį ir „HANA SQL Query“ redaktorių.

SAP HANA duomenų bazė palaiko dviejų tipų licencijos raktus -

  • Nuolatinis licencijos raktas: Nuolatiniai licencijos raktai galioja iki galiojimo pabaigos. Turime paprašyti licencijos rakto ir jį pritaikyti prieš pasibaigiant. Jei baigsis licencijos rakto galiojimo laikas, laikinasis licencijos raktas bus automatiškai įdiegtas 28 dienoms.
  • Laikinas licencijos raktas: tai automatiškai įdiegiama kartu su nauju SAP HANA duomenų bazės diegimu. Jis galioja 90 dienų ir vėliau gali kreiptis dėl nuolatinio rakto iš SAP.

Licencijų valdymo leidimas

Licencijų valdymui reikalingos „LICENCIJOS ADMINISTRAVIMO“ teisės .

SAP HANA auditas

SAP HANA audito funkcijos leidžia stebėti ir įrašyti veiksmus, atliekamus SAP HANA sistemoje. Šios funkcijos turėtų būti suaktyvintos sistemoje prieš kuriant audito politiką.

SAP HANA audito leidimas

"Audito admin" Sistemos Privilegijos reikalingi SAP HANA auditą.

Santrauka :

Šioje pamokoje mes išmokome šią temą:

  • SAP HANA saugos apžvalga.
  • Išsami SAP HANA autentifikacija.
  • Išsami SAP HANA prieigos teisė.
  • SAP HANA vartotojo administravimo metodas.
  • SAP HANA vaidmenų administravimo metodas
  • SAP HANA licencijos valdymo procesas.
  • SAP HANA vaidmens audito procesas.

Įdomios straipsniai...