SAP HANA Security: Komplet vejledning

Indholdsfortegnelse:

Anonim
Hvad er Sap Hana Security?

SAP HANA Security beskytter vigtige data mod uautoriseret adgang og sikrer, at standarder og overholdelse opfylder som sikkerhedsstandard vedtaget af virksomheden.

SAP HANA leverer en facilitet, dvs. Multitenant-database, hvor flere databaser kan oprettes på et enkelt SAP HANA-system. Det er kendt som multitenant database container. Så SAP HANA leverer al sikkerhedsrelateret funktion til alle databasebeholdere med flere enheder.

SAP HANA Giv følgende sikkerhedsrelaterede funktion -

  • Bruger- og rollehåndtering
  • Bemyndigelse
  • Godkendelse
  • Kryptering af data i Persistence Layer
  • Kryptering af data i Network Layer

SAP HANA bruger og rolle

SAP HANA bruger- og rollestyringskonfiguration afhænger af arkitekturen som nedenfor -

  1. 3-trins arkitektur.

    SAP HANA kan bruges som en relationsdatabase i en 3-trins arkitektur.

    I denne arkitektur er sikkerhedsfunktioner (godkendelse, godkendelse, kryptering og revision) installeret på applikationsserverlag.

    SAP-applikation (ERP, BW osv.) Opretter kun forbindelse til database ved hjælp af en teknisk bruger eller database-administrator (Basis Person). Slutbrugeren kan ikke direkte få adgang til databasen eller databaseserveren.

  1. 2-trins arkitektur.

    SAP HANA Extended Application Services (SAP HANA XS) er baseret på 2-lags arkitektur, hvor applikationsserver, webserver og udviklingsmiljø er integreret i et enkelt system.

SAP HANA-godkendelse

Databasebruger identificerer, hvem der har adgang til SAP HANA-databasen. Det verificeres gennem en proces med navnet "Authentication". SAP HANA understøtter mange godkendelsesmetoder. Single Sign-on (SSO) bruges til at integrere flere godkendelsesmetoder.

SAP HANA understøtter følgende godkendelsesmetode -

  • Kerberos: Det kan bruges i følgende tilfælde -
    • Direkte fra JDBC og ODBC Client (SAP HANA Studio).
    • Når HTTP bruges til at få adgang til SAP HANA XS.
  • Brugernavn Kodeord

    Når brugeren indtaster deres databases brugernavn og adgangskode, godkender SAP HANA Database brugeren.

  • SAML (Security Assertion Markup Language)

    SAML kan bruges til at godkende SAP HANA-bruger, der har adgang til SAP HANA-database direkte via ODBC / JDBC. Det er en proces til kortlægning af ekstern brugeridentitet til den interne databasebruger, så brugeren kan logge ind i SAP-database med det eksterne bruger-id.

  • SAP Logon og Assertion-billetter

    Brugeren kan godkendes af Logon eller Assertion Tickets, som er konfigureret og udstedt til brugeren til oprettelse af en billet.

  • X.509 klientcertifikater

    Når SAP HANA XS Access via HTTP kan klientcertifikater underskrevet af en betroet certificeringsmyndighed (CA) bruges til at godkende brugeren.

SAP HANA-godkendelse

SAP HANA-godkendelse er påkrævet, når en bruger, der bruger klientgrænseflade (JDBC, ODBC eller HTTP), har adgang til SAP HANA-databasen.

Afhængig af den tilladelse, der gives til brugeren, kan den udføre databasehandlinger på databaseobjektet. Denne autorisation kaldes "privilegier".

Privilegierne kan tildeles brugeren direkte eller indirekte (gennem roller). Alle privilegier, der tildeles brugere, kombineres som en enkelt enhed.

Når en bruger forsøger at få adgang til ethvert SAP HANA-databaseobjekt, udfører HANA System autorisationskontrol af brugeren gennem brugerroller og tildeler rettighederne direkte.

Når anmodede rettigheder blev fundet, springer HANA-systemet over yderligere kontrol og giver adgang til anmodning om databaseobjekter.

I SAP HANA er følgende privilegier deres -

Privilegier Typer Beskrivelse
Systemrettigheder Det styrer normal systemaktivitet. Systemrettigheder bruges hovedsageligt til -
  • Oprettelse og sletning af skema i SAP HANA-database
  • Håndtering af bruger og rolle i SAP HANA Database
  • Overvågning og sporing af SAP HANA-database
  • Udførelse af sikkerhedskopier af data
  • Administrerende licens
  • Administrerende version
  • Administrerende revision
  • Import og eksport af indhold
  • Vedligeholdelse af leveringsenheder
Objektrettigheder Objektrettigheder er SQL-rettigheder, der bruges til at give tilladelse til at læse og ændre databaseobjekter. For at få adgang til databaseobjekter har bruger brug for objektrettigheder på databaseobjekter eller på det skema, hvor databaseobjekt findes. Objektrettigheder kan tildeles katalogobjekter (tabel, visning osv.) Eller objekter, der ikke er katalog (udviklingsobjekter). Objektrettigheder er som nedenfor -
  • OPRET ALLE
  • OPDATER, INDSÆT, VÆLG, SLET, DROP, ALTER, UDFØR
  • INDEX, TRIGGER, DEBUG, REFERENCER
Analytiske privilegier Analytiske privilegier bruges til at give læseadgang til data fra SAP HANA-informationsmodellen (attributvisning, analytisk visning, beregningsvisning).
  • Dette privilegium evalueres under forespørgselens behandling.
  • Analytiske privilegier giver forskellig brugeradgang på forskellige dele af data i
  • Samme informationsvisning baseret på brugerrolle.
  • Analytiske privilegier bruges i SAP HANA-databasen til at levere data på række niveau
Kontrol for individuelle brugere til at se dataene er i samme visning.
Pakkerettigheder Pakkerettigheder bruges til at give autorisation til handlinger på individuelle pakker i SAP HANA Repository.
Ansøgningsrettigheder Ansøgningsrettigheder kræves i SAP HANA Extended Application Services (SAP HANA XS) for adgangsapplikation. Ansøgningsrettigheder tildeles og tilbagekaldes gennem procedurerne GRANT_APPLICATION_PRIVILEGE og REVOKE_APPLICATION_PRIVILEGE i skemaet _SYS_REPO.
Privilegier for bruger Det er et SQL-privilegium, som kan tildeles af brugeren på egen bruger. ATTACH DEBUGGER er det eneste privilegium, der kan tildeles en bruger.

SAP HANA brugeradministration og rollehåndtering

For at få adgang til SAP HANA-database kræves brugere. Afhængigt af de forskellige sikkerhedspolitikker er der to typer brugere i SAP HANA som nedenfor -

  1. Teknisk bruger (DBA-bruger) - Det er en bruger, der direkte arbejder med SAP HANA-database med nødvendige privilegier. Normalt slettes disse brugere ikke fra databasen.

    Disse brugere oprettes til en administrativ opgave som f.eks. At oprette et objekt og tildele privilegier på databaseobjektet eller på applikationen.

    SAP HANA Databasesystem leverer følgende bruger som standard som standardbruger-

  • SYSTEM
  • SYS
  • _SYS_REPO
  1. Database eller rigtig bruger: Hver bruger, der ønsker at arbejde på SAP HANA-database, har brug for en databasebruger. Databasebruger er en rigtig person, der arbejder på SAP HANA.

    Der er to typer databasebruger som nedenfor -

Brugertype Beskrivelse Rollen er tildelt
Standardbruger Denne bruger kan oprette objekter i et eget skema og læse data i systemvisningerne. Standardbruger oprettet med "CREATE USER" -erklæringen. PUBLIC-rollen tildeles til læst systemvisninger.
Begrænset bruger Begrænset bruger har ingen fuld SQL-adgang via en SQL-konsol og oprettet med "CREATE RESTRICTED USER" -erklæring. Hvis privilegier kræves til brug af en applikation, leveres de gennem rollen.
  • Begrænset bruger kan ikke oprette databaseobjekter.
  • Begrænset bruger kan ikke se data i databasen.
  • Begrænset bruger opretter forbindelse til database via HTTP Only.
  • ODBC / JDBC-adgang til klientforbindelse skal være aktiveret med SQL-sætning.
 RESTRICTED_USER_ODBC_ACCESS eller RESTRICTED_USER_JDBC_ACCESS rolle krævet for brugeren for fuld adgang til ODBC / JDBC-funktionalitet

SAP HANA-brugeradministrator har adgang til følgende aktivitet -

  1. Opret / slet bruger.
  2. Definer og opret rolle.
  3. Giv brugeren rolle.
  4. Nulstilling af brugeradgangskode.
  5. Genaktiver / deaktiver bruger efter behov.
  1. Opret bruger i SAP HANA- kun databasebruger med ROLE ADMIN-rettigheder kan oprette bruger og rolle i SAP HANA.

    Trin 1) For at oprette ny bruger i SAP HANA Studio, gå til fanen sikkerhed som vist nedenfor og følg følgende trin;

    1. Gå til sikkerhedsknudepunkt.
    2. Vælg Brugere (Højreklik) -> Ny bruger.

    Trin 2) En skærm til oprettelse af en bruger vises.

    1. Indtast brugernavn.
    2. Indtast adgangskode til brugeren.
    3. Disse er godkendelsesmekanismer, som standard bruges brugernavn / adgangskode til godkendelse.

Ved at klikke på implementeringsknappen oprettes bruger.

2. Definer og opret rolle

En rolle er en samling af privilegier, der kan tildeles andre brugere eller en rolle. Rollen inkluderer privilegier til databaseobjekt og anvendelse og afhængigt af opgavens art.

Det er en standardmekanisme til at give privilegier. Privilegier kan tildeles brugeren direkte. Der er mange standardroller (f.eks. MODELING, MONITORING osv.) Tilgængelige i SAP HANA-databasen.

Vi kan bruge standardrollen som en skabelon til oprettelse af en brugerdefineret rolle.

En rolle kan indeholde følgende privilegier -

  • Systemrettigheder til administrations- og udviklingsopgaver (KATALOGLÆS, ADMINISTRATIONSADMIN, osv.)
  • Objektrettigheder til databaseobjekter (SELECT, INSERT, DELETE osv.)
  • Analytiske privilegier til SAP HANA-informationsvisning
  • Pakkerettigheder på lagerpakker (REPO.READ, REPO.EDIT_NATIVE_OBJECTS osv.)
  • Ansøgningsrettigheder til SAP HANA XS-applikationer.
  • Privilegier for brugeren (til fejlfinding af procedure).

Rolleskabelse

Trin 1) I dette trin,

  1. Gå til sikkerhedsknudepunkt i SAP HANA System.
  2. Vælg Rollenode (højreklik), og vælg Ny rolle.

Trin 2) En skærm til oprettelse af en rolle vises.

  1. Giv rollenavn under Ny rolleblok.
  2. Vælg fanen Bevilget rolle, og klik på ikonet "+" for at tilføje standardrolle eller afsluttende rolle.
  3. Vælg ønsket rolle (f.eks. MODELLERING, OVERVÅGNING osv.)

TRIN 3) I dette trin

  1. Den valgte rolle tilføjes i fanen Bevilgede roller.
  2. Privilegier kan tildeles brugeren direkte ved at vælge Systemrettigheder, objektrettigheder, Analytiske rettigheder, Pakkerettigheder osv.
  3. Klik på implementeringsikonet for at oprette rolle.

Marker indstillingen "Tildelt andre brugere og roller", hvis du vil tildele denne rolle til anden bruger og rolle.

3. Giv rolle til bruger

TRIN 1) I dette trin tildeler vi rolle "MODELLING_VIEW" til en anden bruger "ABHI_TEST".

  1. Gå til Bruger-undernode under Sikkerhedsnode, og dobbeltklik på den. Brugervindue vises.
  2. Klik på Bevilgede roller "+" Ikon.
  3. Et pop op-vindue vises, Søg på rollenavn, som tildeles brugeren.

TRIN 2) I dette trin tilføjes rollen "MODELLING_VIEW" under rolle.

TRIN 3) I dette trin

  1. Klik på Implementeringsknap.
  2. En meddelelse "Bruger 'ABHI_TEST" ændret vises.

4. Nulstilling af brugeradgangskode

Hvis brugeradgangskoden skal nulstilles, skal du gå til Bruger-undernode under Sikkerhedsnode og dobbeltklikke på den. Brugervindue vises.

TRIN 1) I dette trin

  1. Indtast nyt kodeord.
  2. Indtast Bekræft adgangskode.

TRIN 2) I dette trin

  1. Klik på Implementeringsknap.
  2. Meddelelsen "Bruger 'ABHI_TEST" ændret vises.

5. Genaktiver / deaktiver bruger

Gå til Bruger-undernode under Sikkerhedsnode, og dobbeltklik på den. Brugervindue vises.

Der er De-Activate User-ikon. Klik på den

En bekræftelsesmeddelelse "Pop-up" vises. Klik på knappen 'Ja'.

Meddelelsen "Bruger 'ABHI_TEST' deaktiveret" vises. De-Activate-ikonet skifter med navnet "Activate user". Nu kan vi aktivere bruger fra det samme ikon.

SAP HANA License Management

Licensnøglen kræves for at bruge SAP HANA Database. En licensnøgle kan installeres og slettes ved hjælp af SAP HANA Studio, SAP HANA HDBSQL Command Line-værktøj og HANA SQL Query-editor.

SAP HANA-database understøtter to typer licensnøgler -

  • Permanent licensnøgle: Permanente licensnøgler er gyldige indtil udløbsdatoen. Vi skal anmode om og anvende licensnøgle inden udløbet. Hvis licensnøglen udløber, installeres den midlertidige licensnøgle automatisk i 28 dage.
  • Midlertidig licensnøgle: Denne installeres automatisk med en ny SAP HANA-databaseinstallation. Det er gyldigt i 90 dage og senere kan ansøge om en permanent nøgle fra SAP.

Autorisation af licensadministration

"LICENS Admin" privilegier er nødvendige for License Management.

SAP HANA Auditing

SAP HANA Auditing-funktioner giver dig mulighed for at overvåge og registrere handlinger, der udføres i SAP HANA System. Disse funktioner skal aktiveres for systemet, før der oprettes en revisionspolitik.

Autorisation til SAP HANA Auditing

Systemprivilegier "AUDIT ADMIN" kræves til SAP HANA-revision.

Resume :

I denne vejledning har vi lært følgende emne -

  • SAP HANA-sikkerhedsoversigt.
  • SAP HANA-godkendelse i detaljer.
  • SAP HANA-godkendelse i detaljer.
  • SAP HANA brugeradministrationsmetode.
  • SAP HANA Rolleadministrationsmetode
  • SAP HANA licensstyringsproces.
  • SAP HANA Rollekontrolproces.