Безопасность SAP HANA: полное руководство

Содержание:

Anonim
Что такое Sap Hana Security?

SAP HANA Security защищает важные данные от несанкционированного доступа и обеспечивает соответствие стандартам и соответствию стандартам безопасности, принятым в компании.

SAP HANA предоставляет возможность, например, многопользовательскую базу данных, в которой несколько баз данных могут быть созданы в одной системе SAP HANA. Он известен как контейнер мультиарендной базы данных. Таким образом, SAP HANA предоставляет все функции, связанные с безопасностью, для всех контейнеров многопользовательской базы данных.

SAP HANA предоставляет следующую функцию, связанную с безопасностью -

  • Управление пользователями и ролями
  • Авторизация
  • Аутентификация
  • Шифрование данных на уровне сохраняемости
  • Шифрование данных на сетевом уровне

Пользователь и роль SAP HANA

Конфигурация управления пользователями и ролями SAP HANA зависит от архитектуры, как показано ниже:

  1. Трехуровневая архитектура.

    SAP HANA может использоваться как реляционная база данных в трехуровневой архитектуре.

    В этой архитектуре функции безопасности (авторизация, аутентификация, шифрование и аудит) установлены на уровнях сервера приложений.

    Приложение SAP (ERP, BW и т. Д.) Подключается к базе данных только с помощью технического пользователя или администратора базы данных (Basis Person). Конечный пользователь не может напрямую обращаться к базе данных или серверу базы данных.

  1. Двухуровневая архитектура.

    Расширенные службы приложений SAP HANA (SAP HANA XS) основаны на двухуровневой архитектуре, в которой сервер приложений, веб-сервер и среда разработки встроены в единую систему.

SAP HANA Аутентификация

Пользователь базы данных определяет, кто обращается к базе данных SAP HANA. Это проверяется посредством процесса под названием «Аутентификация». SAP HANA поддерживает множество методов аутентификации. Единый вход (SSO) используется для интеграции нескольких методов аутентификации.

SAP HANA поддерживает следующий метод аутентификации -

  • Kerberos: его можно использовать в следующем случае -
    • Напрямую из JDBC и ODBC Client (SAP HANA Studio).
    • Когда HTTP используется для доступа к SAP HANA XS.
  • Имя пользователя Пароль

    Когда пользователь вводит имя пользователя и пароль своей базы данных, база данных SAP HANA аутентифицирует пользователя.

  • Язык разметки утверждения безопасности (SAML)

    SAML можно использовать для аутентификации пользователя SAP HANA, который обращается к базе данных SAP HANA напрямую через ODBC / JDBC. Это процесс сопоставления внешнего идентификатора пользователя с пользователем внутренней базы данных, чтобы пользователь мог войти в базу данных sap с внешним идентификатором пользователя.

  • Билеты на вход в систему и утверждения SAP

    Пользователь может быть аутентифицирован с помощью Logon или Assertion Tickets, которые настраиваются и выдаются пользователю для создания билета.

  • Сертификаты клиентов X.509

    При доступе к SAP HANA XS по протоколу HTTP для аутентификации пользователя могут использоваться клиентские сертификаты, подписанные доверенным центром сертификации (ЦС).

Авторизация SAP HANA

Авторизация SAP HANA требуется, когда пользователь использует клиентский интерфейс (JDBC, ODBC или HTTP) для доступа к базе данных SAP HANA.

В зависимости от авторизации, предоставленной пользователю, он может выполнять операции базы данных с объектом базы данных. Эта авторизация называется «привилегиями».

Привилегии могут быть предоставлены пользователю прямо или косвенно (через роли). Все привилегии, назначаемые пользователям, объединены в единое целое.

Когда пользователь пытается получить доступ к любому объекту базы данных SAP HANA, система HANA выполняет проверку авторизации для пользователя через роли пользователя и напрямую предоставляет права.

Когда запрошенные привилегии найдены, система HANA пропускает дальнейшие проверки и предоставляет доступ для запроса объектов базы данных.

В SAP HANA их следующие привилегии -

Типы привилегий Описание
Системные привилегии Он контролирует нормальную работу системы. Системные привилегии в основном используются для -
  • Создание и удаление схемы в базе данных SAP HANA
  • Управление пользователями и ролями в базе данных SAP HANA
  • Мониторинг и отслеживание базы данных SAP HANA
  • Резервное копирование данных
  • Управляющая лицензия
  • Управляющая версия
  • Управляющий аудит
  • Импорт и экспорт контента
  • Обслуживание единиц доставки
Привилегии объекта Объектные привилегии - это привилегии SQL, которые используются для предоставления полномочий на чтение и изменение объектов базы данных. Для доступа к объектам базы данных пользователю необходимы объектные привилегии для объектов базы данных или схемы, в которой существует объект базы данных. Объектные привилегии могут быть предоставлены объектам каталога (таблица, представление и т. Д.) Или объектам, не входящим в каталог (объекты разработки). Привилегии объекта следующие:
  • СОЗДАТЬ ЛЮБОЕ
  • ОБНОВЛЕНИЕ, ВСТАВКА, ВЫБОР, УДАЛЕНИЕ, УДАЛЕНИЕ, ИЗМЕНЕНИЕ, ВЫПОЛНЕНИЕ
  • ИНДЕКС, ТРИГГЕР, ОТЛАДКА, ССЫЛКИ
Аналитические привилегии Аналитические привилегии используются, чтобы разрешить доступ для чтения к данным информационной модели SAP HANA (представление атрибутов, аналитическое представление, представление вычислений).
  • Эта привилегия оценивается во время обработки запроса.
  • Аналитические привилегии предоставляют разным пользователям доступ к разным частям данных в
  • Одинаковое информационное представление в зависимости от роли пользователя.
  • Аналитические привилегии используются в базе данных SAP HANA для предоставления данных на уровне строк.
Управление просмотром данных отдельными пользователями осуществляется в одном и том же виде.
Привилегии пакета Привилегии пакета используются для авторизации действий над отдельными пакетами в репозитории SAP HANA.
Привилегии приложения Привилегии приложения требуются в расширенных службах приложений SAP HANA (SAP HANA XS) для доступа к приложению. Привилегии приложений предоставляются и отменяются с помощью процедур GRANT_APPLICATION_PRIVILEGE и REVOKE_APPLICATION_PRIVILEGE в схеме _SYS_REPO.
Привилегии пользователя Это привилегии SQL, которые пользователь может предоставить собственному пользователю. ATTACH DEBUGGER - единственная привилегия, которая может быть предоставлена ​​пользователю.

Администрирование пользователей и управление ролями SAP HANA

Для доступа к базе данных SAP HANA требуются пользователи. В зависимости от другой политики безопасности в SAP HANA есть два типа пользователей, как показано ниже:

  1. Технический Пользователь (DBA пользователя) - это пользователь , который непосредственно работать с SAP HANA базов данных с необходимыми привилегиями. Обычно эти пользователи не удаляются из базы данных.

    Эти пользователи создаются для выполнения административной задачи, такой как создание объекта и предоставление привилегий для объекта базы данных или для приложения.

    Система базы данных SAP HANA по умолчанию предоставляет следующего пользователя в качестве стандартного пользователя:

  • СИСТЕМА
  • SYS
  • _SYS_REPO
  1. База данных или настоящий пользователь: каждому пользователю, который хочет работать с базой данных SAP HANA, нужен пользователь базы данных. Пользователь базы данных - реальный человек, работающий на SAP HANA.

    Существует два типа пользователей базы данных, как показано ниже -

Тип пользователя Описание Роль назначена
Стандартный пользователь Этот пользователь может создавать объекты в собственной схеме и читать данные в системных представлениях. Стандартный пользователь создан с помощью оператора «CREATE USER». Роль PUBLIC назначается для чтения системных представлений.
Ограниченный пользователь Пользователь с ограниченным доступом не имеет полного доступа к SQL через консоль SQL и создан с помощью оператора «CREATE RESTRICTED USER». Если Привилегии необходимы для использования какого-либо приложения, то они предоставляются через роль.
  • Пользователь с ограниченным доступом не может создавать объекты базы данных.
  • Пользователь с ограниченным доступом не может просматривать данные в базе данных.
  • Пользователь с ограниченным доступом подключается к базе данных только через HTTP.
  • Доступ ODBC / JDBC для клиентского соединения должен быть включен с помощью оператора SQL.
 Роль RESTRICTED_USER_ODBC_ACCESS или RESTRICTED_USER_JDBC_ACCESS, необходимая пользователю для полного доступа к функциям ODBC / JDBC

Администратор пользователей SAP HANA имеет доступ к следующему действию -

  1. Создать / удалить пользователя.
  2. Определите и создайте роль.
  3. Предоставить роль пользователю.
  4. Сброс пароля пользователя.
  5. Повторно активируйте / деактивируйте пользователя в соответствии с требованиями.
  1. Создание пользователя в SAP HANA - только пользователь базы данных с привилегиями ROLE ADMIN может создавать пользователя и роль в SAP HANA.

    Шаг 1) Чтобы создать нового пользователя в SAP HANA Studio, перейдите на вкладку безопасности, как показано ниже, и выполните следующие действия;

    1. Перейти к узлу безопасности.
    2. Выберите «Пользователи» (щелкните правой кнопкой мыши) -> «Новый пользователь».

    Шаг 2) Появится экран создания пользователя.

    1. Введите имя пользователя.
    2. Введите пароль для пользователя.
    3. Это механизм аутентификации, по умолчанию для аутентификации используется имя пользователя / пароль.

При нажатии на кнопку развертывания будет создан пользователь.

2. Определите и создайте роль

Роль - это набор привилегий, которые могут быть предоставлены другим пользователям или ролям. Роль включает привилегии для объекта и приложения базы данных и зависит от характера работы.

Это стандартный механизм предоставления привилегий. Привилегии могут быть предоставлены пользователю напрямую. В базе данных SAP HANA доступно множество стандартных ролей (например, МОДЕЛИРОВАНИЕ, МОНИТОРИНГ и т. Д.).

Мы можем использовать стандартную роль в качестве шаблона для создания настраиваемой роли.

Роль может содержать следующие привилегии -

  • Системные привилегии для задач администрирования и разработки (ЧТЕНИЕ КАТАЛОГА, АУДИТ АДМИНИСТРАТОРА и т. Д.)
  • Объектные привилегии для объектов базы данных (SELECT, INSERT, DELETE и т. Д.)
  • Аналитические привилегии для информационного представления SAP HANA
  • Привилегии пакетов для пакетов репозитория (REPO.READ, REPO.EDIT_NATIVE_OBJECTS и т. Д.)
  • Привилегии приложений для приложений SAP HANA XS.
  • Права на пользователя (Для отладки процедуры).

Создание роли

Шаг 1) На этом шаге

  1. Перейдите в узел безопасности в системе SAP HANA.
  2. Выберите узел роли (щелкните правой кнопкой мыши) и выберите «Новая роль».

Шаг 2) Отображается экран создания роли.

  1. Дайте имя роли в разделе "Новый блок ролей".
  2. Выберите вкладку «Предоставленная роль» и нажмите значок «+», чтобы добавить стандартную роль или выходную роль.
  3. Выберите желаемую роль (например, МОДЕЛИРОВАНИЕ, МОНИТОРИНГ и т. Д.)

ШАГ 3) На этом этапе

  1. Выбранная роль добавляется на вкладку «Предоставленные роли».
  2. Привилегии можно назначить пользователю напрямую, выбрав Системные привилегии, Привилегии объекта, Аналитические привилегии, Привилегии пакета и т. Д.
  3. Щелкните значок развертывания, чтобы создать роль.

Отметьте опцию «Предоставляется другим пользователям и ролям», если вы хотите назначить эту роль другому пользователю и роли.

3. Предоставьте роль пользователю

ШАГ 1) На этом этапе мы назначим роль «MODELLING_VIEW» другому пользователю «ABHI_TEST».

  1. Перейдите в подузел «Пользователь» в узле «Безопасность» и дважды щелкните его. Откроется окно пользователя.
  2. Щелкните значок «Разрешенные роли» «+».
  3. Появится всплывающее окно, имя роли поиска, которое будет назначено пользователю.

ШАГ 2) На этом шаге роль «MODELLING_VIEW» будет добавлена ​​в раздел «Роль».

ШАГ 3) На этом этапе

  1. Нажмите кнопку «Развернуть».
  2. Отображается сообщение "Пользователь 'ABHI_TEST" изменен.

4. Сброс пароля пользователя

Если необходимо сбросить пароль пользователя, перейдите в подузел «Пользователь» в узле «Безопасность» и дважды щелкните его. Откроется окно пользователя.

ШАГ 1) На этом этапе

  1. Введите новый пароль.
  2. Введите Подтвердите пароль.

ШАГ 2) На этом этапе

  1. Нажмите кнопку «Развернуть».
  2. Отображается сообщение "Пользователь 'ABHI_TEST" изменен.

5. Повторно активировать / деактивировать пользователя.

Перейдите в подузел «Пользователь» в узле «Безопасность» и дважды щелкните его. Откроется окно пользователя.

Есть значок Деактивировать пользователя. Нажмите здесь

Появится подтверждающее сообщение «Всплывающее окно». Нажмите кнопку «Да».

Появится сообщение «Пользователь 'ABHI_TEST' деактивирован». Значок «Деактивировать» изменится на «Активировать пользователя». Теперь мы можем активировать пользователя с помощью того же значка.

Управление лицензиями SAP HANA

Лицензионный ключ необходим для использования базы данных SAP HANA. Лицензионный ключ можно установить и удалить с помощью SAP HANA Studio, инструмента командной строки SAP HANA HDBSQL и редактора запросов HANA SQL.

База данных SAP HANA поддерживает два типа лицензионного ключа:

  • Постоянный лицензионный ключ: постоянные лицензионные ключи действительны до истечения срока их действия. Нам нужно запросить и применить лицензионный ключ до истечения срока его действия. Если срок действия лицензионного ключа истекает, временный лицензионный ключ устанавливается автоматически на 28 дней.
  • Временный лицензионный ключ: он автоматически устанавливается при новой установке базы данных SAP HANA. Он действителен в течение 90 дней, а позже можно подать заявку на получение постоянного ключа от SAP.

Авторизация управления лицензиями

Для управления лицензиями требуются права «LICENSE ADMIN» .

SAP HANA Аудит

Функции аудита SAP HANA позволяют отслеживать и записывать действия, выполняемые в системе SAP HANA. Эти функции должны быть активированы для системы перед созданием политики аудита.

Авторизация для аудита SAP HANA

Системные привилегии «AUDIT ADMIN», необходимые для аудита SAP HANA.

Резюме :

В этом уроке мы изучили следующую тему -

  • Обзор безопасности SAP HANA.
  • Подробно об аутентификации SAP HANA.
  • Подробно о авторизации SAP HANA.
  • Метод администрирования пользователей SAP HANA.
  • Метод администрирования ролей SAP HANA
  • Процесс управления лицензиями SAP HANA.
  • Процесс аудита ролей SAP HANA.