SAP HANA drošība: Pabeidziet apmācību

Satura rādītājs:

Anonim
Kas ir Sap Hana drošība?

SAP HANA Security aizsargā svarīgus datus no nesankcionētas piekļuves un nodrošina, ka standarti un atbilstība atbilst uzņēmuma pieņemtajiem drošības standartiem.

SAP HANA nodrošina iespēju, ti, Multitenant datu bāzi, kurā vienā SAP HANA sistēmā var izveidot vairākas datu bāzes. Tas ir pazīstams kā daudzkrāsu datu bāzes konteiners. Tātad SAP HANA nodrošina visu ar drošību saistīto funkciju visiem daudzkrāsu datu bāzes konteineriem.

SAP HANA Nodrošiniet šādu ar drošību saistītu funkciju -

  • Lietotāju un lomu pārvaldība
  • Atļauja
  • Autentifikācija
  • Datu šifrēšana noturības slānī
  • Datu šifrēšana tīkla slānī

SAP HANA lietotājs un loma

SAP HANA lietotāju un lomu pārvaldības konfigurācija ir atkarīga no tālāk norādītās arhitektūras -

  1. 3 līmeņu arhitektūra.

    SAP HANA var izmantot kā relāciju datu bāzi 3 līmeņu arhitektūrā.

    Šajā arhitektūrā drošības līdzekļi (autorizācija, autentifikācija, šifrēšana un audits) tiek instalēti lietojumprogrammu serveru slāņos.

    SAP lietojumprogramma (ERP, BW uc) savienojas ar datu bāzi tikai ar tehniskā lietotāja vai datu bāzes administratora (Basis Person) palīdzību. Galalietotājs nevar tieši piekļūt datu bāzei vai datu bāzes serverim.

  1. 2-līmeņu arhitektūra.

    SAP HANA paplašināto lietojumprogrammu pakalpojumi (SAP HANA XS) ir balstīti uz 2 līmeņu arhitektūru, kurā lietojumprogrammu serveris, tīmekļa serveris un izstrādes vide ir iestrādāti vienā sistēmā.

SAP HANA autentifikācija

Datu bāzes lietotājs identificē, kurš piekļūst SAP HANA datu bāzei. To pārbauda, ​​izmantojot procesu ar nosaukumu "Autentifikācija". SAP HANA atbalsta daudzas autentifikācijas metodes. Vienreizēja pierakstīšanās (SSO) tiek izmantota, lai integrētu vairākas autentifikācijas metodes.

SAP HANA atbalsta šādu autentifikācijas metodi -

  • Kerberos: To var izmantot šādā gadījumā -
    • Tieši no JDBC un ODBC klienta (SAP HANA Studio).
    • Kad HTTP tiek izmantots, lai piekļūtu SAP HANA XS.
  • Lietotājvārds Parole

    Kad lietotājs ievada datubāzes lietotājvārdu un paroli, SAP HANA datu bāze lietotāju autentificē.

  • Drošības apgalvojumu iezīmēšanas valoda (SAML)

    SAML var izmantot, lai autentificētu SAP HANA lietotāju, kurš piekļūst SAP HANA datu bāzei tieši caur ODBC / JDBC. Tas ir ārējās lietotāja identitātes kartēšanas process ar iekšējās datu bāzes lietotāju, tāpēc lietotājs var pieteikties sap datu bāzē ar ārējā lietotāja ID.

  • SAP pieteikšanās un apgalvojumu biļetes

    Lietotāju var autentificēt, izmantojot pieteikšanās vai apliecinājuma biļetes, kuras tiek konfigurētas un izsniegtas lietotājam biļetes izveidošanai.

  • X.509 klientu sertifikāti

    Kad SAP HANA XS piekļuve ar HTTP palīdzību lietotāja autentificēšanai var izmantot klienta sertifikātus, kurus parakstījusi uzticama sertifikācijas iestāde (CA).

SAP HANA autorizācija

SAP HANA autorizācija ir nepieciešama, ja lietotājs izmanto klienta saskarni (JDBC, ODBC vai HTTP), lai piekļūtu SAP HANA datu bāzei.

Atkarībā no lietotājam piešķirtās autorizācijas tā var veikt datu bāzes darbības ar datu bāzes objektu. Šo pilnvarojumu sauc par "privilēģijām".

Lietotājam privilēģijas var piešķirt tieši vai netieši (izmantojot lomas). Visas lietotājiem piešķirtās privilēģijas tiek apvienotas kā viena vienība.

Kad lietotājs mēģina piekļūt jebkuram SAP HANA datu bāzes objektam, HANA sistēma veic lietotāja autorizācijas pārbaudi, izmantojot lietotāja lomas, un tieši piešķir privilēģijas.

Kad tiek pieprasītas atrastas privilēģijas, HANA sistēma izlaiž papildu pārbaudes un piešķir piekļuvi pieprasītajiem datu bāzes objektiem.

SAP HANA ir šādas privilēģijas -

Privilēģiju veidi Apraksts
Sistēmas privilēģijas Tas kontrolē normālu sistēmas darbību. Sistēmas privilēģijas galvenokārt tiek izmantotas -
  • Shēmas izveide un dzēšana SAP HANA datu bāzē
  • Lietotāja un lomas pārvaldīšana SAP HANA datu bāzē
  • SAP HANA datu bāzes uzraudzība un izsekošana
  • Datu dublēšana
  • Licences pārvaldīšana
  • Pārvalda versiju
  • Audita vadība
  • Satura importēšana un eksportēšana
  • Piegādes vienību uzturēšana
Objekta privilēģijas Objekta privilēģijas ir SQL privilēģijas, kuras tiek izmantotas, lai piešķirtu atļauju lasīt un modificēt datu bāzes objektus. Lai piekļūtu datu bāzes objektiem, lietotājam ir nepieciešamas objekta privilēģijas datu bāzes objektos vai shēmā, kurā eksistē datu bāzes objekts. Objektu privilēģijas var piešķirt kataloga objektiem (tabula, skats utt.) Vai ne-kataloga objektiem (izstrādes objekti). Objekta privilēģijas ir šādas:
  • RADIET JEBKURU
  • ATJAUNINĀT, IEVADĪT, ATLASĪT, DZĒST, PILOT, MAINĪT, IZPILDET
  • RĀDĪTĀJS, TRIGGER, DEBUG, ATSAUCES
Analītiskās privilēģijas Analītiskās privilēģijas tiek izmantotas, lai atļautu lasīt piekļuvi SAP HANA informācijas modeļa datiem (atribūtu skats, analītiskais skats, aprēķinu skats).
  • Šī privilēģija tiek novērtēta vaicājuma apstrādes laikā.
  • Analītiskās privilēģijas piešķir atšķirīgu lietotāju piekļuvi dažādām datu daļām
  • Tas pats informācijas skats, pamatojoties uz lietotāja lomu.
  • Analītiskās privilēģijas tiek izmantotas SAP HANA datu bāzē, lai nodrošinātu rindas līmeņa datus
Kontrole atsevišķiem lietotājiem, lai redzētu datus, ir tajā pašā skatā.
Kompleksa privilēģijas Pakotņu privilēģijas tiek izmantotas, lai nodrošinātu autorizāciju darbībām ar atsevišķām pakotnēm SAP HANA krātuvē.
Lietojumprogrammu privilēģijas Lai piekļūtu lietojumprogrammai, SAP HANA paplašinātajos lietojumprogrammās (SAP HANA XS) ir nepieciešamas lietojumprogrammu privilēģijas. Lietojumprogrammas privilēģijas tiek piešķirtas un atsauktas, izmantojot shēmu _SYS_REPO, izmantojot procedūrasGRANT_APPLICATION_PRIVILEGE un REVOKE_APPLICATION_PRIVILEGE.
Lietotāja privilēģijas Tās ir SQL privilēģijas, kuras lietotājs var piešķirt pats. PIEVIENOT KĀRTĒTĀJU ir vienīgā privilēģija, ko var piešķirt lietotājam.

SAP HANA lietotāju administrēšana un lomu pārvaldība

Lai piekļūtu SAP HANA datu bāzei, ir nepieciešami lietotāji. Atkarībā no atšķirīgās drošības politikas SAP HANA ir divu veidu lietotāji, kā norādīts tālāk -

  1. Tehniskais lietotājs (DBA lietotājs) - tas ir lietotājs, kurš tieši strādā ar SAP HANA datu bāzi ar nepieciešamajām tiesībām. Parasti šie lietotāji netiek izdzēsti no datu bāzes.

    Šie lietotāji ir izveidoti administratīvam uzdevumam, piemēram, objekta izveidei un privilēģiju piešķiršanai datu bāzes objektam vai lietojumprogrammai.

    SAP HANA datu bāzes sistēma pēc noklusējuma nodrošina šādu lietotāju kā standarta

  • SISTĒMA
  • SYS
  • _SYS_REPO
  1. Datu bāze vai reālais lietotājs: katram lietotājam, kurš vēlas strādāt ar SAP HANA datu bāzi, ir nepieciešams datu bāzes lietotājs. Datu bāzes lietotāji ir reāla persona, kas strādā SAP HANA.

    Ir divi datu bāzes lietotāju veidi, kā norādīts zemāk -

Lietotāja tips Apraksts Piešķirta loma
Standarta lietotājs Šis lietotājs var izveidot objektus savā shēmā un nolasīt datus sistēmas skatījumos. Standarta lietotājs izveidots ar paziņojumu “CREATE USER”. PUBLIC loma tiek piešķirta lasītajiem sistēmas skatiem.
Ierobežots lietotājs Ierobežotajam lietotājam nav pilnīgas SQL piekļuves, izmantojot SQL konsoli, un viņš ir izveidots ar paziņojumu "CREATE RESTRICTED USER". Ja jebkuras lietojumprogrammas izmantošanai ir nepieciešamas privilēģijas, tās tiek nodrošinātas, izmantojot lomu.
  • Ierobežots lietotājs nevar izveidot datu bāzes objektus.
  • Ierobežots lietotājs nevar skatīt datus datu bāzē.
  • Ierobežots lietotājs izveido savienojumu ar datu bāzi, izmantojot tikai HTTP.
  • ODBC / JDBC piekļuve klienta savienojumam ir jāiespējo ar SQL priekšrakstu.
 Lietotājam ir nepieciešama loma RESTRICTED_USER_ODBC_ACCESS vai RESTRICTED_USER_JDBC_ACCESS pilnīgai ODBC / JDBC funkcionalitātes piekļuvei

SAP HANA lietotāju administratoram ir piekļuve šādai darbībai -

  1. Izveidot / dzēst lietotāju.
  2. Definējiet un izveidojiet lomu.
  3. Piešķiriet lietotājam lomu.
  4. Lietotāja paroles atiestatīšana.
  5. Atkārtoti aktivizējiet / deaktivizējiet lietotāju atbilstoši prasībām.
  1. Izveidot lietotāju SAP HANA - tikai datu bāzes lietotājs ar ROLE ADMIN privilēģijām var izveidot lietotāju un lomu SAP HANA.

    1. solis. Lai izveidotu jaunu lietotāju SAP HANA Studio, dodieties uz cilni Drošība, kā parādīts zemāk, un veiciet šādas darbības;

    1. Dodieties uz drošības mezglu.
    2. Atlasiet Lietotāji (ar peles labo pogu noklikšķiniet) -> Jauns lietotājs.

    2. solis. Parādās lietotāja izveides ekrāns.

    1. Ievadiet lietotāja vārdu.
    2. Ievadiet lietotāja paroli.
    3. Tie ir autentifikācijas mehānismi, pēc noklusējuma autentifikācijai tiek izmantots lietotāja vārds / parole.

Noklikšķinot uz izvietošanas pogas, tiks izveidots lietotājs.

2. Definējiet un izveidojiet lomu

Loma ir privilēģiju kopums, ko var piešķirt citiem lietotājiem vai lomai. Lomā ietilpst privilēģijas datu bāzes objektam un lietojumprogrammai un atkarībā no darba veida.

Tas ir standarta mehānisms privilēģiju piešķiršanai. Privilēģijas var tieši piešķirt lietotājam. SAP HANA datu bāzē ir pieejamas daudzas standarta lomas (piemēram, MODELĒŠANA, UZRAUDZĪBA utt.).

Standarta lomu mēs varam izmantot kā veidni, lai izveidotu pielāgotu lomu.

Lomā var būt šādas privilēģijas -

  • Sistēmas privilēģijas administratīvajam un attīstības uzdevumam (KATALOGA LASĪŠANA, REVĪZIJAS PĀRVALDĪTĀJS utt.)
  • Objekta privilēģijas datu bāzes objektiem (SELECT, INSERT, DELETE utt.)
  • Analītiskās privilēģijas SAP HANA informācijas skatam
  • Pakotņu privilēģijas krātuves paketēm (REPO.READ, REPO.EDIT_NATIVE_OBJECTS utt.)
  • Lietojumprogrammu privilēģijas SAP HANA XS lietojumprogrammām.
  • Lietotāja privilēģijas (procedūras atkļūdošanai).

Lomu izveide

1. solis) Šajā solī

  1. Dodieties uz drošības mezglu SAP HANA sistēmā.
  2. Atlasiet Lomu mezgls (ar peles labo pogu noklikšķiniet) un atlasiet Jauna loma.

2. solis. Tiek parādīts lomu izveides ekrāns.

  1. Piešķiriet lomas nosaukumu zem Jauna lomu bloka.
  2. Atlasiet cilni Piešķirtā loma un noklikšķiniet uz ikonas "+", lai pievienotu standarta lomu vai izejas lomu.
  3. Atlasiet vēlamo lomu (piem., MODELĒŠANA, UZRAUDZĪBA utt.)

3. SOLIS) Šajā solī

  1. Cilnē Piešķirtās lomas tiek pievienota atlasītā loma.
  2. Lietotājam var piešķirt privilēģijas tieši, atlasot Sistēmas privilēģijas, objektu privilēģijas, analītiskās privilēģijas, paketes privilēģijas utt.
  3. Noklikšķiniet uz izvietošanas ikonas, lai izveidotu lomu.

Atzīmējiet opciju "Piešķirams citiem lietotājiem un lomām", ja vēlaties piešķirt šo lomu citiem lietotājiem un lomām.

3. Piešķiriet lomu lietotājam

1. SOLIS . Šajā darbībā mēs piešķiram lomu “MODELLING_VIEW” citam lietotājam “ABHI_TEST”.

  1. Dodieties uz lietotāja apakšmezglu sadaļā Drošības mezgls un veiciet dubultklikšķi uz tā. Tiks parādīts lietotāja logs.
  2. Noklikšķiniet uz ikonas Piešķirtās lomas "+".
  3. Parādīsies uznirstošais logs, meklēšanas lomas nosaukums, kas tiks piešķirts lietotājam.

2. SOLIS) Šajā solī lomai “MODELLING_VIEW” tiks pievienota loma.

3. SOLIS) Šajā solī

  1. Noklikšķiniet uz pogas Izvietot.
  2. Tiek parādīts ziņojums "Lietotāja ABHI_TEST" mainīts.

4. Lietotāja paroles atiestatīšana

Ja lietotāja parole ir jāatjauno, pēc tam dodieties uz lietotāja apakšmezglu sadaļā Drošības mezgls un veiciet dubultklikšķi uz tā. Tiks parādīts lietotāja logs.

1. SOLIS) Šajā solī

  1. Ievadiet jaunu paroli.
  2. Ievadiet Apstiprināt paroli.

2. SOLIS) Šajā solī

  1. Noklikšķiniet uz pogas Izvietot.
  2. Tiek parādīts ziņojums "Lietotāja ABHI_TEST" mainīts.

5. Atkārtoti aktivizējiet / deaktivizējiet lietotāju

Dodieties uz lietotāja apakšmezglu sadaļā Drošības mezgls un veiciet dubultklikšķi uz tā. Tiks parādīts lietotāja logs.

Ir ikona Deaktivizēt lietotāju. Noklikšķiniet uz tā

Parādīsies apstiprinājuma ziņojums "Uznirstošais logs". Noklikšķiniet uz pogas Jā.

Tiks parādīts ziņojums "Lietotājs 'ABHI_TEST' deaktivēts". Ikona Deaktivizēt mainās ar nosaukumu "Aktivizēt lietotāju". Tagad mēs varam aktivizēt lietotāju no tās pašas ikonas.

SAP HANA licenču pārvaldība

Licences atslēga ir nepieciešama, lai izmantotu SAP HANA datu bāzi. Licences atslēgu var instalēt un izdzēst, izmantojot SAP HANA Studio, SAP HANA HDBSQL komandrindas rīku un HANA SQL Query redaktoru.

SAP HANA datu bāze atbalsta divu veidu licences atslēgas -

  • Pastāvīgā licences atslēga: pastāvīgās licences atslēgas ir derīgas līdz derīguma termiņa beigām. Pirms derīguma termiņa beigām mums jāpieprasa un jāpielieto licences atslēga. Ja licences atslēgas derīguma termiņš beidzas, pagaidu licences atslēga tiek automātiski instalēta uz 28 dienām.
  • Pagaidu licences atslēga: tā tiek automātiski instalēta kopā ar jaunu SAP HANA datu bāzes instalāciju. Tas ir derīgs 90 dienas un vēlāk var pieteikties uz SAP pastāvīgo atslēgu.

Licenču pārvaldības pilnvarošana

Licences pārvaldībai ir nepieciešamas "LICENCES ADMINISTRĀCIJAS" privilēģijas .

SAP HANA revīzija

SAP HANA auditēšanas funkcijas ļauj pārraudzīt un ierakstīt darbības, kas tiek veiktas SAP HANA sistēmā. Šīs funkcijas ir jāaktivizē sistēmā pirms audita politikas izveides.

Autorizācija SAP HANA auditēšanai

SAP HANA auditēšanai nepieciešamas sistēmas "AUDIT ADMIN" privilēģijas.

Kopsavilkums :

Šajā apmācībā mēs esam iemācījušies šādu tēmu -

  • SAP HANA drošības pārskats.
  • SAP HANA autentifikācija detalizēti.
  • SAP HANA autorizācija detalizēti.
  • SAP HANA lietotāju administrēšanas metode.
  • SAP HANA lomu administrēšanas metode
  • SAP HANA licences pārvaldības process.
  • SAP HANA lomu revīzijas process.