Ce este Sap Hana Security?
SAP HANA Security protejează datele importante de accesul neautorizat și se asigură că standardele și conformitatea respectă standardele de securitate adoptate de companie.
SAP HANA oferă o facilitate, adică o bază de date Multitenant, în care pot fi create mai multe baze de date pe un singur sistem SAP HANA. Este cunoscut sub numele de container de baze de date multitenant. Astfel, SAP HANA oferă toate caracteristicile legate de securitate pentru toate containerele de baze de date multitenant.
SAP HANA Furnizați următoarele caracteristici legate de securitate -
- Administrarea utilizatorilor și a rolurilor
- Autorizare
- Autentificare
- Criptarea datelor în Persistence Layer
- Criptarea datelor în Network Layer
Utilizator și rol SAP HANA
Configurarea SAP HANA pentru administrarea utilizatorului și rolului depinde de arhitectura de mai jos -
- Arhitectură pe 3 niveluri.
SAP HANA poate fi utilizat ca bază de date relațională într-o arhitectură pe 3 niveluri.
În această arhitectură, caracteristicile de securitate (autorizare, autentificare, criptare și audit) sunt instalate pe straturile serverului de aplicații.
Aplicația SAP (ERP, BW etc.) se conectează la baza de date numai cu ajutorul unui utilizator tehnic sau al unui administrator de baze de date (Persoană de bază). Utilizatorul final nu poate accesa direct baza de date sau serverul de baze de date.
- Arhitectură pe 2 niveluri.
Serviciile de aplicații extinse SAP HANA (SAP HANA XS) se bazează pe arhitectura pe 2 nivele, în care serverul de aplicații, serverul web și mediul de dezvoltare sunt încorporate într-un singur sistem.
Autentificare SAP HANA
Utilizatorul bazei de date identifică cine accesează baza de date SAP HANA. Acesta este verificat printr-un proces denumit „Autentificare”. SAP HANA acceptă multe metode de autentificare. Single Sign-on (SSO) sunt utilizate pentru a integra mai multe metode de autentificare.
SAP HANA acceptă următoarea metodă de autentificare -
- Kerberos: Poate fi utilizat în următorul caz -
- Direct de la clientul JDBC și ODBC (SAP HANA Studio).
- Când HTTP este utilizat pentru a accesa SAP HANA XS.
- Nume utilizator, parola
Când utilizatorul introduce numele de utilizator și parola bazei de date, atunci baza de date SAP HANA autentifică utilizatorul.
- Limbajul de afirmare a securității (SAML)
SAML poate fi utilizat pentru autentificarea utilizatorului SAP HANA, care accesează baza de date SAP HANA direct prin ODBC / JDBC. Este un proces de mapare a identității utilizatorului extern cu utilizatorul bazei de date interne, astfel încât utilizatorul să se poată autentifica în baza de date SAP cu ID-ul de utilizator extern.
- Bilete SAP Logon și Assertion
Utilizatorul poate fi autentificat prin Logon sau Assertion Tickets, care este configurat și emis utilizatorului pentru crearea unui ticket.
- X.509 Certificate Clienți
Atunci când SAP HANA XS Access prin HTTP, certificatele de client semnate de o autoritate de certificare de încredere (CA) pot fi utilizate pentru autentificarea utilizatorului.
Autorizare SAP HANA
Autorizarea SAP HANA este necesară atunci când un utilizator care utilizează interfața client (JDBC, ODBC sau HTTP) pentru a accesa baza de date SAP HANA.
În funcție de autorizația furnizată utilizatorului, acesta poate efectua operațiuni de bază de date pe obiectul bazei de date. Această autorizație se numește „privilegii”.
Privilegiile pot fi acordate utilizatorului direct sau indirect (prin roluri). Toate privilegiile atribuite utilizatorilor sunt combinate ca o singură unitate.
Când un utilizator încearcă să acceseze orice obiect al bazei de date SAP HANA, sistemul HANA efectuează verificarea autorizării utilizatorului prin rolurile utilizatorului și acordă direct privilegiile.
Când au fost găsite privilegii solicitate, sistemul HANA omite verificări suplimentare și acordă acces pentru a solicita obiecte din baza de date.
În SAP HANA următoarele privilegii sunt -
| Tipuri de privilegii | Descriere |
| Privilegii de sistem | Controlează activitatea normală a sistemului. Privilegiile de sistem sunt utilizate în principal pentru -
|
| Privilegii de obiect | Privilegiile de obiect sunt privilegii SQL care sunt utilizate pentru a da autorizația de a citi și modifica obiectele bazei de date. Pentru a accesa obiectele bazei de date, utilizatorul are nevoie de privilegii de obiect pe obiectele bazei de date sau pe schema în care există obiectul bazei de date. Privilegiile de obiect pot fi acordate obiectelor de catalog (tabel, vizualizare etc.) sau obiectelor necatalogate (obiecte de dezvoltare). Privilegiile de obiect sunt după cum urmează -
|
| Privilegii analitice | Privilegiile analitice sunt utilizate pentru a permite accesul la citire la datele modelului de informații SAP HANA (vizualizare atribut, vizualizare analitică, vizualizare calcul).
|
| Privilegiile pachetului | Privilegiile de pachet sunt folosite pentru a oferi autorizație pentru acțiuni pe pachete individuale în SAP HANA Repository. |
| Privilegii de aplicare | Privilegiile aplicației sunt necesare în Serviciile de aplicații extinse în SAP HANA (SAP HANA XS) pentru aplicația de acces. Privilegiile aplicației sunt acordate și revocate prin procedurile GRANT_APPLICATION_PRIVILEGE și REVOKE_APPLICATION_PRIVILEGE în schema _SYS_REPO. |
| Privilegii asupra utilizatorului | Este un privilegiu SQL, care poate fi acordat de utilizator pe propriul utilizator. ATAȘA DEBUGGER este singurul privilegiu care poate fi acordat unui utilizator. |
Administrarea utilizatorilor și gestionarea rolurilor SAP HANA
Pentru a accesa baza de date SAP HANA, utilizatorii sunt obligați. În funcție de politica de securitate diferită, există două tipuri de utilizatori în SAP HANA ca mai jos -
- Utilizator tehnic (utilizator DBA) - Este un utilizator care lucrează direct cu baza de date SAP HANA cu privilegiile necesare. În mod normal, acești utilizatori nu sunt șterse din baza de date.
Acești utilizatori sunt creați pentru o sarcină administrativă, cum ar fi crearea unui obiect și acordarea de privilegii pentru obiectul bazei de date sau pentru aplicație.
Sistemul de baze de date SAP HANA oferă următorul utilizator în mod implicit ca utilizator standard-
- SISTEM
- SYS
- _SYS_REPO
- Bază de date sau utilizator real: Fiecare utilizator care dorește să lucreze la baza de date SAP HANA, are nevoie de un utilizator de bază de date. Utilizatorul bazei de date este o persoană reală care lucrează la SAP HANA.
Există două tipuri de utilizatori ai bazei de date ca mai jos -
| Tip de utilizator | Descriere | Rolul atribuit |
| Utilizator standard | Acest utilizator poate crea obiecte într-o schemă proprie și citește datele în vizualizările de sistem. Utilizator standard creat cu declarația „CREATE USER”. | Rolul PUBLIC este atribuit pentru vizualizările sistemului citite. |
| Utilizator restricționat | Utilizatorul restricționat nu are acces SQL complet prin intermediul unei console SQL și este creat cu instrucțiunea „CREATE RESTRICTED USER”. Dacă privilegiile sunt necesare pentru utilizarea oricărei aplicații, atunci acestea sunt furnizate prin rol.
| Rolul RESTRICTED_USER_ODBC_ACCESS sau RESTRICTED_USER_JDBC_ACCESS necesar utilizatorului pentru acces complet la funcționalitatea ODBC / JDBC |
Administratorul de utilizatori SAP HANA are acces la următoarea activitate -
- Creați / ștergeți utilizator.
- Definiți și creați un rol.
- Acordă rol utilizatorului.
- Resetarea parolei de utilizator.
- Reactivați / dezactivați utilizatorul conform cerințelor.
- Creați utilizator în SAP HANA - numai utilizatorul bazei de date cu privilegii ROLE ADMIN poate crea utilizator și rol în SAP HANA.
Pasul 1) Pentru a crea un utilizator nou în SAP HANA Studio accesați fila de securitate așa cum se arată mai jos și urmați pașii următori;
- Accesați nodul de securitate.
- Selectați Utilizatori (clic dreapta) -> Utilizator nou.
Pasul 2) Apare un ecran de creare a utilizatorului.
- Introduceti numele de utilizator.
- Introduceți parola pentru utilizator.
- Acestea sunt mecanisme de autentificare, implicit numele de utilizator / parola este utilizat pentru autentificare.
Făcând clic pe 
butonul de implementare va fi creat utilizatorul.
2. Definiți și creați un rol
Un rol este o colecție de privilegii care pot fi acordate altor utilizatori sau rol. Rolul include privilegii pentru obiectul și aplicația bazei de date și în funcție de natura lucrării.
Este un mecanism standard pentru acordarea de privilegii. Privilegiile pot fi acordate direct utilizatorului. Există multe roluri standard (de exemplu, MODELARE, MONITORIZARE etc.) disponibile în baza de date SAP HANA.
Putem folosi rolul standard ca șablon pentru crearea unui rol personalizat.
Un rol poate conține următoarele privilegii -
- Privilegii de sistem pentru sarcina administrativă și de dezvoltare (CITIȚI CATALOG, ADMINISTRARE DE AUDIT etc.)
- Privilegiile de obiect pentru obiectele bazei de date (SELECT, INSERT, DELETE etc.)
- Privilegii analitice pentru vizualizarea informațiilor SAP HANA
- Privilegiile pachetelor pentru pachetele de depozite (REPO.READ, REPO.EDIT_NATIVE_OBJECTS etc.)
- Privilegii de aplicație pentru aplicațiile SAP HANA XS.
- Privilegii pentru utilizator (Pentru depanarea procedurii).
Crearea rolului
Pasul 1) În acest pas,
- Accesați nodul de securitate din sistemul SAP HANA.
- Selectați Nod rol (clic dreapta) și selectați rol nou.
Pasul 2) Este afișat un ecran de creare a rolurilor.
- Dați numele rolului sub Bloc rol nou.
- Selectați fila Rol acordat și faceți clic pe pictograma „+” pentru a adăuga un rol standard sau un rol de ieșire.
- Selectați rolul dorit (de exemplu, MODELARE, MONITORIZARE etc.)
PASUL 3) În acest pas,
- Rolul selectat este adăugat în fila Roluri acordate.
- Privilegiile pot fi atribuite direct utilizatorului selectând Privilegiile de sistem, Privilegiile obiectelor, Privilegiile analitice, Privilegiile pachetelor etc.
- Faceți clic pe pictograma de implementare pentru a crea rolul.
Bifați opțiunea „Acordabil altor utilizatori și roluri”, dacă doriți să atribuiți acest rol altor utilizatori și roluri.
3. Acordați rolul utilizatorului
PASUL 1) În acest pas, vom atribui rolul „MODELLING_VIEW” unui alt utilizator „ABHI_TEST”.
- Accesați subnodul utilizator sub nodul de securitate și faceți dublu clic pe acesta. Se va afișa fereastra utilizatorului.
- Faceți clic pe pictograma „+” Roluri acordate.
- Va apărea o fereastră pop-up, numele rolului de căutare care va fi atribuit utilizatorului.
PASUL 2) În acest pas, rolul „MODELLING_VIEW” va fi adăugat sub Rol.
PASUL 3) În acest pas,
- Faceți clic pe butonul Deploy.
- Se afișează un mesaj „User 'ABHI_TEST” modificat.
4. Resetarea parolei de utilizator
Dacă parola utilizatorului trebuie resetată, accesați subnodul Utilizator sub Nod securitate și faceți dublu clic pe acesta. Se va afișa fereastra utilizatorului.
PASUL 1) În acest pas,
- Introduceți o parolă nouă.
- Introduceți Confirmați parola.
PASUL 2) În acest pas,
- Faceți clic pe butonul Deploy.
- Se afișează un mesaj „User 'ABHI_TEST” modificat.
5. Reactivați / dezactivați utilizatorul
Accesați subnodul utilizator sub nodul de securitate și faceți dublu clic pe acesta. Se va afișa fereastra utilizatorului.
Există pictograma Dezactivare utilizator. Apasa pe el
Va apărea un mesaj de confirmare „Popup”. Faceți clic pe butonul „Da”.
Va fi afișat un mesaj „Utilizatorul 'ABHI_TEST' dezactivat”. Pictograma Dezactivare se modifică cu numele „Activare utilizator”. Acum putem activa utilizatorul din aceeași pictogramă.
Managementul licențelor SAP HANA
Cheia de licență este necesară pentru a utiliza baza de date SAP HANA. O cheie de licență poate fi instalată și ștearsă utilizând SAP HANA Studio, instrumentul de linie de comandă SAP HANA HDBSQL și editorul de interogări SQL HANA.
Baza de date SAP HANA acceptă două tipuri de chei de licență -
- Cheie de licență permanentă: Cheile de licență permanente sunt valabile până la data expirării. Trebuie să solicităm și să aplicăm cheia de licență înainte de expirare. Dacă cheia de licență expiră, atunci cheia de licență temporară este instalată automat timp de 28 de zile.
- Cheie de licență temporară: Aceasta este instalată automat cu o nouă instalare a bazei de date SAP HANA. Este valabil 90 de zile și ulterior poate aplica pentru cheia permanentă de la SAP.
Autorizarea gestionării licențelor
Pentru administrarea licențelor sunt necesare privilegii „ADMIN. LICENȚĂ” .
Audit SAP HANA
Funcțiile de audit SAP HANA vă permit să monitorizați și să înregistrați acțiunile care sunt efectuate în sistemul SAP HANA. Aceste caracteristici ar trebui să fie activate pentru sistem înainte de a crea politica de audit.
Autorizare pentru auditul SAP HANA
Privilegiile de sistem „AUDIT ADMIN” sunt necesare pentru Auditul SAP HANA.
Rezumat :
În acest tutorial, am învățat următorul subiect -
- Prezentare generală a securității SAP HANA.
- Autentificarea SAP HANA în detaliu.
- Autorizarea SAP HANA în detaliu.
- Metoda SAP HANA User Administration.
- Metoda SAP HANA Role Administration
- Procesul de gestionare a licențelor SAP HANA.
- Procesul de audit al rolului SAP HANA.