Zabezpečení SAP HANA: Kompletní kurz

Obsah:

Anonim
Co je zabezpečení Sap Hana?

SAP HANA Security chrání důležitá data před neoprávněným přístupem a zajišťuje, aby standardy a shoda odpovídaly bezpečnostním standardům přijatým společností.

SAP HANA poskytuje zařízení, tj. Databázi Multitenant, ve které lze vytvořit více databází v jednom systému SAP HANA. Je znám jako multitenantový databázový kontejner. Takže SAP HANA poskytuje všechny funkce související se zabezpečením pro všechny databázové kontejnery s více nájemci.

SAP HANA Poskytují následující funkce související se zabezpečením -

  • Správa uživatelů a rolí
  • Oprávnění
  • Ověření
  • Šifrování dat ve vrstvě perzistence
  • Šifrování dat ve vrstvě sítě

Uživatel a role SAP HANA

Konfigurace správy uživatelů a rolí SAP HANA závisí na architektuře, jak je uvedeno níže -

  1. Třívrstvá architektura.

    SAP HANA lze použít jako relační databázi ve třívrstvé architektuře.

    V této architektuře jsou funkce zabezpečení (autorizace, ověřování, šifrování a auditování) instalovány na vrstvy aplikačního serveru.

    Aplikace SAP (ERP, BW atd.) Se připojuje k databázi pouze pomocí technického uživatele nebo správce databáze (osoba základny). Koncový uživatel nemá přímý přístup k databázi nebo databázovému serveru.

  1. Dvouvrstvá architektura.

    SAP HANA Extended Application Services (SAP HANA XS) je založena na dvouúrovňové architektuře, ve které jsou aplikační server, webový server a vývojové prostředí vloženy do jednoho systému.

Ověřování SAP HANA

Uživatel databáze identifikuje, kdo přistupuje k databázi SAP HANA. Ověřuje se procesem s názvem „Ověření“. SAP HANA podporuje mnoho metod ověřování. Single Sign-on (SSO) se používají k integraci několika autentizačních metod.

SAP HANA podporuje následující metodu ověřování -

  • Kerberos: Může být použit v následujícím případě -
    • Přímo z klienta JDBC a ODBC (SAP HANA Studio).
    • Když se pro přístup k SAP HANA XS používá HTTP.
  • Uživatelské jméno heslo

    Když uživatel zadá své uživatelské jméno a heslo do databáze, pak SAP HANA Database uživatele ověří.

  • Security Assertion Markup Language (SAML)

    SAML lze použít k ověření uživatele SAP HANA, který přistupuje k databázi SAP HANA přímo prostřednictvím ODBC / JDBC. Jedná se o proces mapování identity externího uživatele na uživatele interní databáze, takže se uživatel může přihlásit do databáze SAP pomocí ID externího uživatele.

  • Vstupenky a přihlášení SAP

    Uživatel může být ověřen pomocí Logon nebo Assertion Tickets, které jsou nakonfigurovány a vydány uživateli pro vytvoření lístku.

  • Certifikáty klientů X.509

    Při přístupu SAP HANA XS pomocí protokolu HTTP lze k ověření uživatele použít klientské certifikáty podepsané důvěryhodnou certifikační autoritou (CA).

Autorizace SAP HANA

Autorizace SAP HANA je vyžadována, když uživatel používá klientské rozhraní (JDBC, ODBC nebo HTTP) pro přístup k databázi SAP HANA.

V závislosti na autorizaci poskytnuté uživateli může provádět databázové operace s databázovým objektem. Toto oprávnění se nazývá „oprávnění“.

Oprávnění lze uživateli udělit přímo nebo nepřímo (prostřednictvím rolí). Všechna oprávnění přiřazená uživatelům jsou kombinována jako jedna jednotka.

Když se uživatel pokusí o přístup k jakémukoli objektu databáze SAP HANA, provede systém HANA kontrolu autorizace uživatele prostřednictvím uživatelských rolí a přímo udělí oprávnění.

Když jsou nalezena požadovaná oprávnění, systém HANA přeskočí další kontroly a udělí přístup k požadovaným databázovým objektům.

V SAP HANA jsou následující oprávnění -

Typy oprávnění Popis
Systémová oprávnění Řídí normální činnost systému. Systémová oprávnění se používají hlavně pro -
  • Vytváření a mazání schématu v databázi SAP HANA
  • Správa uživatelů a rolí v databázi SAP HANA
  • Monitorování a trasování databáze SAP HANA
  • Provádím zálohování dat
  • Správa licence
  • Správa verze
  • Správa auditu
  • Import a export obsahu
  • Údržba dodacích jednotek
Objektová oprávnění Oprávnění k objektům jsou oprávnění SQL, která se používají k udělení oprávnění ke čtení a úpravám databázových objektů. Pro přístup k databázovým objektům potřebuje uživatel oprávnění k objektům databáze nebo ke schématu, ve kterém databázový objekt existuje. Oprávnění k objektům lze udělit katalogovým objektům (tabulka, pohled atd.) Nebo nekatalogickým objektům (vývojové objekty). Oprávnění k objektům jsou uvedena níže -
  • VYTVOŘTE JAKÉKOLI
  • UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE
  • INDEX, TRIGGER, DEBUG, REFERENCE
Analytická oprávnění Analytická oprávnění se používají k povolení přístupu ke čtení dat informačního modelu SAP HANA (zobrazení atributů, analytické zobrazení, zobrazení výpočtu).
  • Toto oprávnění je vyhodnoceno během zpracování dotazu.
  • Analytická oprávnění udělují různým uživatelům přístup k různé části dat v systému Windows
  • Stejné zobrazení informací na základě role uživatele.
  • Analytická oprávnění se používají v databázi SAP HANA k poskytování dat na úrovni řádků
Ovládací prvky pro zobrazení jednotlivých uživatelů jsou ve stejném zobrazení.
Balíková oprávnění Balíková oprávnění se používají k zajištění autorizace akcí na jednotlivých balíčcích v úložišti SAP HANA.
Aplikační oprávnění V aplikaci SAP HANA Extended Application Services (SAP HANA XS) jsou pro přístup k aplikaci požadována oprávnění aplikace. Aplikační oprávnění jsou udělována a odvolávána pomocí procedur procedur GRANT_APPLICATION_PRIVILEGE a REVOKE_APPLICATION_PRIVILEGE ve schématu _SYS_REPO.
Oprávnění uživatele Jedná se o oprávnění SQL, které může uživatel udělit vlastnímu uživateli. ATTACH DEBUGGER je jediné oprávnění, které lze uživateli udělit.

Správa uživatelů SAP HANA a správa rolí

Pro přístup k databázi SAP HANA jsou uživatelé povinni. V závislosti na různých zásadách zabezpečení existují v SAP HANA dva typy uživatelů, jak je uvedeno níže -

  1. Technický uživatel (uživatel DBA) - Je to uživatel, který přímo pracuje s databází SAP HANA s potřebnými oprávněními. Normálně se tito uživatelé z databáze nevymažou.

    Tito uživatelé jsou vytvořeni pro administrativní úlohu, jako je vytvoření objektu a udělení oprávnění k databázovému objektu nebo k aplikaci.

    Databázový systém SAP HANA standardně poskytuje následující uživatele jako standardní

  • SYSTÉM
  • SYS
  • _SYS_REPO
  1. Databáze nebo skutečný uživatel: Každý uživatel, který chce pracovat na databázi SAP HANA, potřebuje uživatele databáze. Uživatelé databáze jsou skutečnou osobou, která pracuje na SAP HANA.

    Níže jsou dva typy uživatelů databáze -

Typ uživatele Popis Role přiřazena
Standardní uživatel Tento uživatel může vytvářet objekty ve vlastním schématu a číst data v systémových pohledech. Standardní uživatel vytvořen s prohlášením „VYTVOŘIT UŽIVATELE“. ROLE VEŘEJNOSTI je přiřazena pro čtení zobrazení systému.
Omezený uživatel Omezený uživatel nemá úplný přístup SQL prostřednictvím konzoly SQL a je vytvořen pomocí příkazu „VYTVOŘIT OMEZENÉHO UŽIVATELE“. Pokud jsou pro použití jakékoli aplikace vyžadována oprávnění, jsou poskytována prostřednictvím role.
  • Omezený uživatel nemůže vytvářet databázové objekty.
  • Omezený uživatel nemůže zobrazit data v databázi.
  • Omezený uživatel se připojuje k databázi pouze prostřednictvím protokolu HTTP.
  • Pomocí příkazu SQL musí být povolen přístup ODBC / JDBC pro připojení klienta.
 Pro úplný přístup k funkcím ODBC / JDBC je pro uživatele vyžadována role RESTRICTED_USER_ODBC_ACCESS nebo RESTRICTED_USER_JDBC_ACCESS

Správce uživatelů SAP HANA má přístup k následující aktivitě -

  1. Vytvořit / odstranit uživatele.
  2. Definujte a vytvořte roli.
  3. Udělit uživateli roli.
  4. Resetování hesla uživatele.
  5. Znovu aktivujte / deaktivujte uživatele podle požadavků.
  1. Vytvořit uživatele v SAP HANA - pouze uživatel databáze s oprávněními ROLE ADMIN může vytvořit uživatele a roli v SAP HANA.

    Krok 1) Chcete-li vytvořit nového uživatele v SAP HANA Studio, přejděte na kartu zabezpečení, jak je znázorněno níže, a postupujte podle následujících kroků;

    1. Přejít na bezpečnostní uzel.
    2. Vyberte uživatele (pravé kliknutí) -> nový uživatel.

    Krok 2) Zobrazí se obrazovka pro vytvoření uživatele.

    1. Zadejte uživatelské jméno.
    2. Zadejte heslo pro uživatele.
    3. Jedná se o autentizační mechanismus, ve výchozím nastavení se pro autentizaci používá uživatelské jméno / heslo.

Kliknutím na tlačítko nasazení bude vytvořen uživatel.

2. Definujte a vytvořte roli

Role je kolekce oprávnění, která lze udělit dalším uživatelům nebo roli. Role zahrnuje oprávnění pro databázový objekt a aplikaci a v závislosti na povaze úlohy.

Jedná se o standardní mechanismus udělování oprávnění. Uživateli lze přímo udělit oprávnění. V databázi SAP HANA je k dispozici mnoho standardních rolí (např. MODELOVÁNÍ, MONITOROVÁNÍ atd.).

Můžeme použít standardní roli jako šablonu pro vytvoření vlastní role.

Role může obsahovat následující oprávnění -

  • Systémová oprávnění pro administrativní a vývojové úkoly (KATALOGOVÉ ČTENÍ, AUDITNÍ SPRÁVCE atd.)
  • Oprávnění k objektům pro databázové objekty (VÝBĚR, VLOŽENÍ, ODSTRANĚNÍ atd.)
  • Analytická oprávnění pro zobrazení informací SAP HANA
  • Balíková oprávnění na balíčky úložiště (REPO.READ, REPO.EDIT_NATIVE_OBJECTS atd.)
  • Oprávnění k aplikacím pro aplikace SAP HANA XS.
  • Oprávnění uživatele (pro ladění procedury).

Vytváření rolí

Krok 1) V tomto kroku

  1. Přejděte do uzlu Zabezpečení v systému SAP HANA.
  2. Vyberte uzel role (pravé kliknutí) a vyberte novou roli.

Krok 2) Zobrazí se obrazovka pro vytvoření role.

  1. V části Nový blok rolí zadejte název role.
  2. Vyberte kartu Udělená role a kliknutím na ikonu „+“ přidáte standardní roli nebo vystupující roli.
  3. Vyberte požadovanou roli (např. MODELOVÁNÍ, MONITOROVÁNÍ atd.)

KROK 3) V tomto kroku

  1. Vybraná role se přidá na kartu Udělené role.
  2. Privileges can be assign to the user directly by selecting System Privileges, object Privileges, Analytic Privileges, Package Privileges, etc.
  3. Kliknutím na ikonu nasazení vytvoříte roli.

Pokud chcete tuto roli přiřadit jinému uživateli a roli, zaškrtněte možnost „Udělitelné jiným uživatelům a rolím“.

3. Udělte roli uživateli

KROK 1) V tomto kroku přiřadíme roli „MODELLING_VIEW“ jinému uživateli „ABHI_TEST“.

  1. Přejděte do poduzlu uživatele v části uzel zabezpečení a dvakrát na něj klikněte. Zobrazí se okno uživatele.
  2. Klikněte na ikonu Udělené role „+“.
  3. Zobrazí se vyskakovací okno s názvem Hledat roli, který bude přiřazen uživateli.

KROK 2) V tomto kroku bude pod rolí přidána role „MODELLING_VIEW“.

KROK 3) V tomto kroku

  1. Klikněte na tlačítko nasadit.
  2. Zobrazí se zpráva „Uživatel“ ABHI_TEST “změněn.

4. Resetování hesla uživatele

Pokud je potřeba resetovat heslo uživatele, přejděte do části Uzel uživatele v části Uzel zabezpečení a dvakrát na něj klikněte. Zobrazí se okno uživatele.

KROK 1) V tomto kroku

  1. Zadejte nové heslo.
  2. Zadejte Potvrďte heslo.

KROK 2) V tomto kroku

  1. Klikněte na tlačítko nasadit.
  2. Zobrazí se zpráva „Uživatel„ ABHI_TEST “změněn.

5. Znovu aktivujte / deaktivujte uživatele

Přejděte do poduzlu uživatele v části uzel zabezpečení a dvakrát na něj klikněte. Zobrazí se okno uživatele.

K dispozici je ikona Deaktivovat uživatele. Klikněte na to

Zobrazí se potvrzovací zpráva „Vyskakovací okno“. Klikněte na tlačítko „Ano“.

Zobrazí se zpráva „Uživatel„ ABHI_TEST “deaktivován“. Ikona deaktivace se mění s názvem „Aktivovat uživatele“. Nyní můžeme aktivovat uživatele ze stejné ikony.

Správa licencí SAP HANA

Licenční klíč je vyžadován pro použití databáze SAP HANA. Licenční klíč lze nainstalovat a odstranit pomocí aplikace SAP HANA Studio, nástroje příkazového řádku SAP HANA HDBSQL a editoru dotazů HANA SQL.

Databáze SAP HANA podporuje dva typy licenčních klíčů -

  • Trvalý licenční klíč: Trvalé licenční klíče jsou platné do data vypršení platnosti. Před vypršením platnosti musíme vyžádat a použít licenční klíč. Pokud platnost licenčního klíče vyprší, automaticky se na 28 dní nainstaluje dočasný licenční klíč.
  • Dočasný licenční klíč: Automaticky se nainstaluje s novou instalací databáze SAP HANA. Je platný 90 dní a později může požádat o trvalý klíč od SAP.

Autorizace správy licencí

Pro správu licencí jsou vyžadována oprávnění „LICENČNÍ SPRÁVCE“ .

Auditování SAP HANA

Funkce auditu SAP HANA vám umožňují sledovat a zaznamenávat akce prováděné v systému SAP HANA. Tato funkce by měla být pro systém aktivována před vytvořením zásad auditu.

Autorizace pro auditování SAP HANA

Pro audit SAP HANA jsou vyžadována systémová oprávnění „AUDIT ADMIN“ .

Shrnutí :

V tomto tutoriálu jsme se naučili následující téma -

  • Přehled zabezpečení SAP HANA.
  • Ověřování SAP HANA podrobně.
  • Autorizace SAP HANA podrobně.
  • Metoda správy uživatelů SAP HANA.
  • Metoda správy rolí SAP HANA
  • Proces správy licencí SAP HANA.
  • Proces auditu rolí SAP HANA.