SAP HANA Security: Komplett veiledning

Innholdsfortegnelse:

Anonim
Hva er Sap Hana Security?

SAP HANA Security beskytter viktige data mot uautorisert tilgang og sørger for at standardene og overholdelsen oppfyller som sikkerhetsstandard vedtatt av selskapet.

SAP HANA tilbyr et anlegg, dvs. Multitenant-database, der flere databaser kan opprettes på ett enkelt SAP HANA-system. Det er kjent som databasebeholder for flere enheter. Så SAP HANA tilbyr alle sikkerhetsrelaterte funksjoner for alle databasebeholdere med flere enheter.

SAP HANA Gi følgende sikkerhetsrelaterte funksjoner -

  • Bruker- og rollehåndtering
  • Autorisasjon
  • Godkjenning
  • Kryptering av data i Persistence Layer
  • Kryptering av data i Network Layer

SAP HANA bruker og rolle

SAP HANA bruker- og rolleadministrasjonskonfigurasjon avhenger av arkitekturen som nedenfor -

  1. 3-lags arkitektur.

    SAP HANA kan brukes som en relasjonsdatabase i en 3-lags arkitektur.

    I denne arkitekturen er sikkerhetsfunksjoner (autorisasjon, godkjenning, kryptering og revisjon) installert på applikasjonsserverlag.

    SAP-applikasjon (ERP, BW, etc.) kobles bare til databasen ved hjelp av en teknisk bruker eller databaseadministrator (Basis Person). Sluttbrukeren kan ikke få direkte tilgang til databasen eller databaseserveren.

  1. 2-lags arkitektur.

    SAP HANA Extended Application Services (SAP HANA XS) er basert på 2-lags arkitektur, der applikasjonsserver, webserver og utviklingsmiljø er innebygd i et enkelt system.

SAP HANA-godkjenning

Databasebruker identifiserer hvem som får tilgang til SAP HANA-databasen. Det bekreftes gjennom en prosess som heter "Autentisering." SAP HANA støtter mange autentiseringsmetoder. Single Sign-on (SSO) brukes til å integrere flere autentiseringsmetoder.

SAP HANA støtter følgende autentiseringsmetode -

  • Kerberos: Den kan brukes i følgende tilfelle -
    • Direkte fra JDBC og ODBC Client (SAP HANA Studio).
    • Når HTTP brukes til å få tilgang til SAP HANA XS.
  • Brukernavn passord

    Når brukeren skriver inn brukernavn og passord for databasen, godkjenner SAP HANA Database brukeren.

  • Security Assertion Markup Language (SAML)

    SAML kan brukes til å autentisere SAP HANA-bruker, som får tilgang til SAP HANA-database direkte via ODBC / JDBC. Det er en prosess med å kartlegge ekstern brukeridentitet til den interne databasebrukeren, slik at brukeren kan logge på i SAP-database med den eksterne bruker-ID-en.

  • SAP-påloggings- og påstandsbilletter

    Brukeren kan autentiseres av pålogging eller påstandsbilletter, som er konfigurert og utstedt til brukeren for å opprette en billett.

  • X.509 Klientsertifikater

    Når SAP HANA XS Access via HTTP kan klientsertifikater signert av en pålitelig sertifiseringsmyndighet (CA) brukes til å autentisere brukeren.

SAP HANA Autorisasjon

SAP HANA-autorisasjon kreves når en bruker som bruker klientgrensesnitt (JDBC, ODBC eller HTTP) for å få tilgang til SAP HANA-databasen.

Avhengig av autorisasjonen som er gitt til brukeren, kan den utføre databaseoperasjoner på databaseobjektet. Denne autorisasjonen kalles "privilegier".

Privilegiene kan tildeles brukeren direkte eller indirekte (gjennom roller). Alle privilegier som tildeles brukere er kombinert som en enkelt enhet.

Når en bruker prøver å få tilgang til ethvert SAP HANA-databaseobjekt, utfører HANA System autorisasjonskontroll på brukeren gjennom brukerroller og gir rettighetene direkte.

Når det ble funnet privilegier funnet, hopper HANA-systemet over ytterligere kontroller og gir tilgang til forespørsel om databaseobjekter.

I SAP HANA er følgende privilegier deres -

Privilegier Typer Beskrivelse
Systemrettigheter Den styrer normal systemaktivitet. Systemrettigheter brukes hovedsakelig til -
  • Opprette og slette skjema i SAP HANA-database
  • Administrere bruker og rolle i SAP HANA Database
  • Overvåking og sporing av SAP HANA-database
  • Utføre sikkerhetskopiering av data
  • Administrerende lisens
  • Administrerende versjon
  • Administrerende revisjon
  • Importere og eksportere innhold
  • Opprettholde leveringsenheter
Objektrettigheter Objektrettigheter er SQL-rettigheter som brukes til å gi autorisasjon til å lese og endre databaseobjekter. For å få tilgang til databaseobjekter trenger bruker objektrettigheter på databaseobjekter eller på skjemaet der databaseobjektet eksisterer. Objektrettigheter kan gis til katalogobjekter (tabell, visning osv.) Eller ikke-katalogobjekter (utviklingsobjekter). Objektrettigheter er som nedenfor -
  • SKAP ALLE
  • OPPDATER, INSERT, VELG, SLET, DROP, ALTER, KJØR
  • INDEKS, TRIGGER, DEBUG, REFERANSER
Analytiske privilegier Analytiske privilegier brukes til å gi lesetilgang på data fra SAP HANA Informasjonsmodell (attributtvisning, analytisk visning, beregningsvisning).
  • Dette privilegiet blir evaluert under behandlingen av spørringene.
  • Analytic Privileges gir forskjellig brukertilgang på forskjellige deler av data i
  • Samme informasjonsvisning basert på brukerrolle.
  • Analytiske privilegier brukes i SAP HANA-databasen for å gi data på radnivå
Kontroll for at enkeltbrukere kan se dataene er i samme visning.
Pakkerettigheter Pakkeprivilegier brukes til å gi autorisasjon for handlinger på individuelle pakker i SAP HANA Repository.
Søknadsrettigheter Søknadsrettigheter kreves i SAP HANA Extended Application Services (SAP HANA XS) for tilgangsapplikasjon. Søknadsrettigheter gis og tilbakekalles gjennom prosedyrene GRANT_APPLICATION_PRIVILEGE og REVOKE_APPLICATION_PRIVILEGE i skjemaet _SYS_REPO.
Privilegier på bruker Det er en SQL-rettighet, som kan tildeles av brukeren på egen bruker. ATTACH DEBUGGER er det eneste privilegiet som kan tildeles en bruker.

SAP HANA brukeradministrasjon og rollehåndtering

For å få tilgang til SAP HANA-database, kreves brukere. Avhengig av de forskjellige sikkerhetspolicyene er det to typer brukere i SAP HANA som nedenfor -

  1. Teknisk bruker (DBA-bruker) - Det er en bruker som jobber direkte med SAP HANA-databasen med nødvendige rettigheter. Normalt slettes ikke disse brukerne fra databasen.

    Disse brukerne er opprettet for en administrativ oppgave, for eksempel å opprette et objekt og gi privilegier på databaseobjektet eller på applikasjonen.

    SAP HANA Databasesystem gir følgende brukere som standard som standard bruker-

  • SYSTEM
  • SYS
  • _SYS_REPO
  1. Database eller ekte bruker: Hver bruker som ønsker å jobbe med SAP HANA-database, trenger en databasebruker. Databasebruker er en ekte person som jobber med SAP HANA.

    Det er to typer databaser som nedenfor:

Brukertype Beskrivelse Rollen er tildelt
Standard bruker Denne brukeren kan opprette objekter i et eget skjema og lese data i systemvisninger. Standardbruker opprettet med "CREATE USER" -erklæring. PUBLIC-rolle er tildelt for lese systemvisninger.
Begrenset bruker Begrenset bruker har ikke full SQL-tilgang via en SQL-konsoll og opprettet med "CREATE RESTRICTED USER" -uttalelse. Hvis privilegier kreves for bruk av et hvilket som helst program, blir de gitt gjennom rollen.
  • Begrenset bruker kan ikke opprette databaseobjekter.
  • Begrenset bruker kan ikke se data i databasen.
  • Begrenset bruker kobler seg til databasen bare via HTTP.
  • ODBC / JDBC-tilgang for klienttilkobling må være aktivert med SQL-setning.
 RESTRICTED_USER_ODBC_ACCESS eller RESTRICTED_USER_JDBC_ACCESS-rolle kreves for brukeren for full tilgang til ODBC / JDBC-funksjonalitet

SAP HANA brukeradministrator har tilgang til følgende aktivitet -

  1. Opprett / slett bruker.
  2. Definer og opprett rolle.
  3. Gi rolle til brukeren.
  4. Tilbakestiller brukerpassord.
  5. Aktiver / deaktiver bruker på nytt i henhold til krav.
  1. Opprett bruker i SAP HANA - bare databasebruker med ROLE ADMIN-rettigheter kan opprette bruker og rolle i SAP HANA.

    Trinn 1) For å opprette ny bruker i SAP HANA Studio, gå til sikkerhetsfanen som vist nedenfor og følg følgende trinn;

    1. Gå til sikkerhetsnode.
    2. Velg brukere (høyreklikk) -> ny bruker.

    Trinn 2) Et skjermbilde for brukeroppretting vises.

    1. Skriv inn brukernavn.
    2. Skriv inn passord for brukeren.
    3. Dette er autentiseringsmekanisme, som standard brukes brukernavn / passord for autentisering.

Ved å klikke på distribusjonsknappen blir brukeren opprettet.

2. Definer og opprett rolle

En rolle er en samling privilegier som kan tildeles andre brukere eller rolle. Rollen inkluderer privilegier for databaseobjekt og applikasjon, og avhengig av arten av jobben.

Det er en standard mekanisme for å gi privilegier. Privilegier kan tildeles brukeren direkte. Det er mange standardroller (f.eks. MODELLERING, OVERVÅKING osv.) Tilgjengelig i SAP HANA-databasen.

Vi kan bruke standardrollen som en mal for å lage en tilpasset rolle.

En rolle kan inneholde følgende privilegier -

  • Systemrettigheter for administrasjons- og utviklingsoppgave (KATALOGLES, ADMINISTRERINGSADMIN, etc.)
  • Objektrettigheter for databaseobjekter (SELECT, INSERT, DELETE, etc.)
  • Analytiske privilegier for SAP HANA Informasjonsvisning
  • Pakkerettigheter på depotpakker (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
  • Søknadsrettigheter for SAP HANA XS-applikasjoner.
  • Privilegier for brukeren (for feilsøking av prosedyren).

Rolleopprettelse

Trinn 1) I dette trinnet,

  1. Gå til Sikkerhetsnode i SAP HANA System.
  2. Velg Rollenode (Høyreklikk) og velg Ny rolle.

Trinn 2) Et skjermbilde for rolleoppretting vises.

  1. Oppgi rollenavn under Ny rolleblokk.
  2. Velg kategorien Bevilget rolle, og klikk "+" -ikonet for å legge til standardrolle eller avsluttende rolle.
  3. Velg ønsket rolle (f.eks. MODELLERING, OVERVÅKING osv.)

TRINN 3) I dette trinnet

  1. Valgt rolle er lagt til i kategorien Bevilgede roller.
  2. Privilegier kan tildeles brukeren direkte ved å velge System Privileges, object Privileges, Analytic Privileges, Package Privileges, etc.
  3. Klikk på distribusjonsikonet for å opprette rolle.

Merk av for alternativet "Tilskudd til andre brukere og roller", hvis du vil tildele denne rollen til andre brukere og roller.

3. Gi rolle til bruker

TRINN 1) I dette trinnet vil vi tildele rolle "MODELLING_VIEW" til en annen bruker "ABHI_TEST".

  1. Gå til brukerundernode under Sikkerhetsnode og dobbeltklikk på den. Brukervinduet vises.
  2. Klikk på Tildelte roller "+" Ikon.
  3. En popup vises, Søk rollenavn som tildeles brukeren.

TRINN 2) I dette trinnet vil rollen "MODELLING_VIEW" legges til under rolle.

TRINN 3) I dette trinnet

  1. Klikk på Distribusjonsknapp.
  2. En melding "Bruker 'ABHI_TEST" endret vises.

4. Tilbakestille brukerpassord

Hvis brukerpassordet må tilbakestilles, går du til brukerundernode under Sikkerhetsnode og dobbeltklikker på det. Brukervinduet vises.

TRINN 1) I dette trinnet,

  1. Skriv inn nytt passord.
  2. Skriv inn Bekreft passord.

TRINN 2) I dette trinnet

  1. Klikk på Distribusjonsknapp.
  2. En melding "Bruker 'ABHI_TEST" endret vises.

5. Aktiver / deaktiver bruker på nytt

Gå til brukerundernode under Sikkerhetsnode og dobbeltklikk på den. Brukervinduet vises.

Det er Avaktiver brukerikon. Klikk på den

En bekreftelsesmelding "Popup" vises. Klikk på 'Ja' -knappen.

En melding "Bruker 'ABHI_TEST' deaktivert" vises. Avaktiveringsikonet endres med navnet "Aktiver bruker". Nå kan vi aktivere bruker fra samme ikon.

SAP HANA License Management

Lisensnøkkelen kreves for å bruke SAP HANA Database. En lisensnøkkel kan installeres og slettes ved hjelp av SAP HANA Studio, SAP HANA HDBSQL Command Line-verktøy og HANA SQL Query-editor.

SAP HANA-database støtter to typer lisensnøkkel -

  • Permanent lisensnøkkel: Permanente lisensnøkler er gyldige til utløpsdatoen. Vi må be om og bruke lisensnøkkel før utløpet. Hvis lisensnøkkelen utløper, installeres den midlertidige lisensnøkkelen automatisk i 28 dager.
  • Midlertidig lisensnøkkel: Dette installeres automatisk med en ny SAP HANA-databaseinstallasjon. Den er gyldig i 90 dager og kan senere søke om permanent nøkkel fra SAP.

Autorisasjon av lisensadministrasjon

" Lisensadministrator " -rettigheter kreves for lisensadministrasjon.

SAP HANA-revisjon

SAP HANA Auditing-funksjoner lar deg overvåke og registrere handlinger som utføres i SAP HANA System. Disse funksjonene bør aktiveres for systemet før du oppretter revisjonspolitikk.

Autorisasjon for SAP HANA Auditing

Systemprivilegier "AUDIT ADMIN" kreves for SAP HANA-revisjon.

Sammendrag :

I denne veiledningen har vi lært følgende emne -

  • SAP HANA sikkerhetsoversikt.
  • SAP HANA-autentisering i detalj.
  • SAP HANA Autorisasjon i detalj.
  • SAP HANA brukeradministrasjonsmetode.
  • SAP HANA Rolleadministrasjonsmetode
  • SAP HANA lisensadministrasjonsprosess.
  • SAP HANA Rollekontrollprosess.