Čo je zabezpečenie spoločnosti Sap Hana?
SAP HANA Security chráni dôležité údaje pred neoprávneným prístupom a zaisťuje, aby štandardy a súlad zodpovedali bezpečnostným štandardom prijatým spoločnosťou.
SAP HANA poskytuje zariadenie, tj multitenantovú databázu, v ktorej je možné vytvoriť viac databáz v jednom systéme SAP HANA. Je známy ako multitenantový databázový kontajner. Takže SAP HANA poskytuje všetky funkcie súvisiace so zabezpečením pre celý multitenantový databázový kontajner.
SAP HANA Poskytujú nasledujúce funkcie súvisiace so zabezpečením -
- Správa používateľov a rolí
- Povolenie
- Overenie
- Šifrovanie údajov vo vrstve perzistencie
- Šifrovanie údajov v sieťovej vrstve
Užívateľ a rola SAP HANA
Konfigurácia správy používateľov a rolí SAP HANA závisí od architektúry, ako je uvedené nižšie -
- 3-vrstvová architektúra.
SAP HANA sa môže použiť ako relačná databáza v 3-vrstvovej architektúre.
V tejto architektúre sú funkcie zabezpečenia (autorizácia, autentifikácia, šifrovanie a auditovanie) nainštalované na vrstvách aplikačného servera.
Aplikácia SAP (ERP, BW atď.) Sa k databáze pripája iba pomocou technického používateľa alebo správcu databázy (Basis Person). Koncový užívateľ nemá priamy prístup k databáze alebo k databázovému serveru.
- 2-vrstvová architektúra.
Aplikácia SAP HANA Extended Application Services (SAP HANA XS) je založená na dvojstupňovej architektúre, v ktorej sú aplikačný server, webový server a vývojové prostredie zabudované do jedného systému.
Autentifikácia SAP HANA
Používateľ databázy identifikuje, kto pristupuje k databáze SAP HANA. Overuje sa to procesom s názvom „Overenie totožnosti“. SAP HANA podporuje mnoho metód autentifikácie. Single Sign-on (SSO) sa používa na integráciu niekoľkých metód autentifikácie.
SAP HANA podporuje nasledujúcu metódu autentifikácie -
- Kerberos: Môže sa použiť v nasledujúcom prípade -
- Priamo z klienta JDBC a ODBC (SAP HANA Studio).
- Keď sa na prístup k SAP HANA XS používa protokol HTTP.
- Užívateľské meno / heslo
Keď užívateľ zadá svoje užívateľské meno a heslo do databázy, potom SAP HANA Database autentifikuje používateľa.
- Security Assertion Markup Language (SAML)
SAML je možné použiť na autentifikáciu používateľa SAP HANA, ktorý pristupuje k databáze SAP HANA priamo cez ODBC / JDBC. Jedná sa o proces mapovania identity externého používateľa na používateľa internej databázy, takže sa používateľ môže prihlásiť do databázy SAP pomocou ID externého používateľa.
- Vstupenky a prihlásenie SAP
Užívateľa je možné autentifikovať pomocou Logon alebo Assertion Tickets, ktoré sú nakonfigurované a vydané používateľovi na vytvorenie lístka.
- Certifikáty klientov X.509
Keď je SAP HANA XS prístup cez HTTP, na autentifikáciu používateľa je možné použiť klientske certifikáty podpísané dôveryhodnou certifikačnou autoritou (CA).
Autorizácia SAP HANA
Autorizácia SAP HANA sa vyžaduje, keď používateľ používajúci klientske rozhranie (JDBC, ODBC alebo HTTP) na prístup k databáze SAP HANA.
V závislosti na autorizácii poskytnutej používateľovi môže vykonávať databázové operácie s databázovým objektom. Táto autorizácia sa nazýva „privilégiá“.
Výsady môžu byť používateľovi udelené priamo alebo nepriamo (prostredníctvom rolí). Všetky oprávnenia pridelené používateľom sú spojené ako jedna jednotka.
Keď sa užívateľ pokúsi získať prístup k ľubovoľnému objektu databázy SAP HANA, systém HANA vykoná kontrolu autorizácie používateľa prostredníctvom rolí používateľov a priamo mu udelí oprávnenia.
Na požiadanie nájdené oprávnenie systém HANA preskočí ďalšie kontroly a udelí prístup k požiadavkám na databázové objekty.
V systéme SAP HANA sú tieto oprávnenia -
Typy oprávnení | Popis |
Systémové oprávnenia | Riadi normálnu činnosť systému. Systémové oprávnenia sa používajú hlavne na -
|
Objektové oprávnenia | Objektové oprávnenia sú oprávnenia SQL, ktoré sa používajú na oprávnenie na čítanie a úpravu databázových objektov. Na prístup k databázovým objektom potrebuje užívateľ privilégiá na objekty v databáze alebo v schéme, v ktorej existuje databázový objekt. Privilégiá k objektom je možné udeliť katalógovým objektom (tabuľka, pohľad atď.) Alebo nekatalógovým objektom (vývojové objekty). Oprávnenie na objekt je uvedené nižšie -
|
Analytické privilégiá | Analytické privilégiá sa používajú na povolenie prístupu na čítanie údajov informačného modelu SAP HANA (zobrazenie atribútov, analytické zobrazenie, výpočtové zobrazenie).
|
Balíkové oprávnenia | Balíčkové oprávnenia sa používajú na zabezpečenie autorizácie akcií na jednotlivých balíkoch v úložisku SAP HANA. |
Aplikačné oprávnenia | Pre prístup k aplikácii sú v aplikácii SAP HANA Extended Application Services (SAP HANA XS) požadované aplikačné oprávnenia. Aplikačné privilégiá sa udeľujú a odvolávajú prostredníctvom procedúr GRANT_APPLICATION_PRIVILEGE a REVOKE_APPLICATION_PRIVILEGE v schéme _SYS_REPO. |
Výsady pre používateľa | Jedná sa o oprávnenie SQL, ktoré môže používateľ udeliť vlastnému používateľovi. ATTACH DEBUGGER je jediné privilégium, ktoré možno užívateľovi udeliť. |
Správa používateľov SAP HANA a správa rolí
Na prístup do databázy SAP HANA sú požadovaní používatelia. V závislosti od rôznych bezpečnostných politík existujú v SAP HANA dva typy používateľov, ako je uvedené nižšie -
- Technický používateľ (používateľ DBA) - Je to používateľ, ktorý priamo pracuje s databázou SAP HANA s potrebnými oprávneniami. Za normálnych okolností sa títo používatelia z databázy nevymažú.
Títo používatelia sú vytváraní pre administratívne úlohy, ako je napríklad vytváranie objektu a udeľovanie privilégií pre databázový objekt alebo pre aplikáciu.
Databázový systém SAP HANA štandardne poskytuje nasledujúceho používateľa ako štandardný
- SYSTÉM
- SYS
- _SYS_REPO
- Databáza alebo skutočný používateľ: Každý používateľ, ktorý chce pracovať na databáze SAP HANA, potrebuje používateľa databázy. Používatelia databázy sú skutočná osoba, ktorá pracuje na systéme SAP HANA.
Ako sú uvedené nižšie, existujú dva typy používateľov databázy -
Typ používateľa | Popis | Úloha pridelená |
Štandardný používateľ | Tento užívateľ môže vytvárať objekty vo vlastnej schéme a čítať údaje v systémových pohľadoch. Štandardný používateľ bol vytvorený s vyhlásením „VYTVORIŤ POUŽÍVATEĽA“. | ROLE VEREJNOSTI je pridelená pre prečítané systémové zobrazenia. |
Obmedzený používateľ | Obmedzený používateľ nemá úplný prístup SQL prostredníctvom konzoly SQL a bol vytvorený s vyhlásením „VYTVORIŤ OBMEDZENÉHO UŽÍVATEĽA“. Ak sa na používanie akejkoľvek aplikácie vyžadujú oprávnenia, potom sú poskytované prostredníctvom role.
| Role RESTRICTED_USER_ODBC_ACCESS alebo RESTRICTED_USER_JDBC_ACCESS vyžadovaná od používateľa pre úplný prístup k funkcii ODBC / JDBC |
Správca používateľov SAP HANA má prístup k nasledujúcej aktivite -
- Vytvoriť / odstrániť používateľa.
- Definujte a vytvorte úlohu.
- Prideliť používateľovi úlohu.
- Obnovuje sa heslo používateľa.
- Znova aktivujte / deaktivujte používateľa podľa požiadaviek.
- Vytvoriť používateľa v SAP HANA - iba používateľ databázy s oprávneniami ROLE ADMIN môže vytvoriť používateľa a rolu v SAP HANA.
Krok 1) Ak chcete vytvoriť nového používateľa v aplikácii SAP HANA Studio, prejdite na kartu Zabezpečenie, ako je uvedené nižšie, a postupujte podľa nasledujúcich krokov;
- Choďte do bezpečnostného uzla.
- Vyberte používateľov (pravé tlačidlo myši) -> nový používateľ.
Krok 2) Zobrazí sa obrazovka vytvorenia používateľa.
- Zadajte meno používateľa.
- Zadajte heslo pre používateľa.
- Jedná sa o autentifikačný mechanizmus, štandardne sa na autentifikáciu používa meno používateľa / heslo.
Kliknutím na tlačidlo nasadenia bude vytvorený užívateľ.
2. Definujte a vytvorte úlohu
Rola je súbor privilégií, ktoré možno udeliť iným používateľom alebo role. Rola obsahuje privilégiá pre databázový objekt a aplikáciu a v závislosti od povahy úlohy.
Je to štandardný mechanizmus udeľovania privilégií. Výsady môžu byť užívateľovi udelené priamo. V databáze SAP HANA je k dispozícii veľa štandardných rolí (napr. MODELOVANIE, MONITOROVANIE atď.).
Štandardnú rolu môžeme použiť ako šablónu na vytvorenie vlastnej roly.
Rola môže obsahovať nasledujúce privilégiá -
- Systémové oprávnenia pre administratívne a vývojové úlohy (KATALÓGOVÉ ČÍTANIE, AUDÍTORSKÝ SPRÁVCA atď.)
- Oprávnenie objektov pre databázové objekty (VÝBER, VLOŽIŤ, ODSTRÁNIŤ atď.)
- Analytické oprávnenia pre zobrazenie informácií SAP HANA
- Balíkové oprávnenia na balíkoch úložiska (REPO.READ, REPO.EDIT_NATIVE_OBJECTS atď.)
- Aplikačné oprávnenia pre aplikácie SAP HANA XS.
- Výsady pre používateľa (na ladenie postupu).
Tvorba rolí
Krok 1) V tomto kroku
- Prejdite do uzla Zabezpečenie v systéme SAP HANA.
- Vyberte uzol roly (kliknutie pravým tlačidlom myši) a vyberte možnosť Nová rola.
Krok 2) Zobrazí sa obrazovka na vytvorenie roly.
- V časti Nový blok rolí zadajte názov role.
- Vyberte kartu Udelená rola a kliknutím na ikonu „+“ pridajte štandardnú rolu alebo vystupujúcu rolu.
- Vyberte požadovanú rolu (napr. MODELOVANIE, MONITOROVANIE atď.)
KROK 3) V tomto kroku
- Vybraná rola sa pridá na kartu Udelené role.
- Výsady je možné používateľovi prideliť priamo výberom Systémových oprávnení, Objektových oprávnení, Analytických oprávnení, Balíčkových oprávnení atď.
- Kliknutím na ikonu nasadenia vytvoríte úlohu.
Ak chcete túto rolu priradiť inému používateľovi a role, začiarknite možnosť „Udeliteľné iným používateľom a rolám“.
3. Udeliť úlohu používateľovi
KROK 1) V tomto kroku priradíme úlohu „MODELLING_VIEW“ inému používateľovi „ABHI_TEST“.
- Prejdite do poduzla používateľa v časti Uzol zabezpečenia a dvakrát na ňu kliknite. Zobrazí sa okno používateľa.
- Kliknite na ikonu Udelené roly „+“.
- Zobrazí sa vyskakovacie okno s názvom Vyhľadať úlohu, ktorý sa priradí používateľovi.
KROK 2) V tomto kroku bude pod rolu pridaná rola „MODELLING_VIEW“.
KROK 3) V tomto kroku
- Kliknite na tlačidlo Nasadiť.
- Zobrazí sa správa „Používateľ“ ABHI_TEST ”zmenený.
4. Obnovenie hesla používateľa
Ak je potrebné heslo používateľa resetovať, prejdite do poduzla používateľa v časti Uzol zabezpečenia a dvakrát naň kliknite. Zobrazí sa okno používateľa.
KROK 1) V tomto kroku
- Zadajte nové heslo.
- Zadajte potvrdiť heslo.
KROK 2) V tomto kroku
- Kliknite na tlačidlo Nasadiť.
- Zobrazí sa správa „Používateľ„ ABHI_TEST “zmenený.
5. Znova aktivujte / deaktivujte používateľa
Prejdite do poduzla používateľa v časti Uzol zabezpečenia a dvakrát na ňu kliknite. Zobrazí sa okno používateľa.
K dispozícii je ikona Deaktivovať používateľa. Kliknite na ňu
Zobrazí sa potvrdzujúca správa „Vyskakovacie okno“. Kliknite na tlačidlo „Áno“.
Zobrazí sa správa „Používateľ„ ABHI_TEST “deaktivovaný“. Ikona deaktivácie sa mení s názvom „Aktivovať používateľa“. Teraz môžeme používateľa aktivovať pomocou rovnakej ikony.
Správa licencií SAP HANA
Na používanie databázy SAP HANA je potrebný licenčný kľúč. Licenčný kľúč je možné nainštalovať a vymazať pomocou softvéru SAP HANA Studio, nástroja príkazového riadku SAP HANA HDBSQL a editora dotazov HANA SQL.
Databáza SAP HANA podporuje dva typy licenčných kľúčov -
- Trvalý licenčný kľúč: Trvalé licenčné kľúče sú platné do dátumu vypršania platnosti. Pred uplynutím platnosti musíme požiadať a použiť licenčný kľúč. Ak licenčný kľúč vyprší, dočasný licenčný kľúč sa automaticky nainštaluje na 28 dní.
- Dočasný licenčný kľúč: Automaticky sa nainštaluje s novou inštaláciou databázy SAP HANA. Je platný 90 dní a neskôr môže požiadať o trvalý kľúč od spoločnosti SAP.
Autorizácia správy licencií
Na správu licencií sa vyžadujú oprávnenia „LICENČNÝ SPRÁVCA“ .
Auditovanie SAP HANA
Funkcie auditu SAP HANA vám umožňujú monitorovať a zaznamenávať akcie vykonávané v systéme SAP HANA. Pred vytvorením politiky auditu by sa mali tieto funkcie pre systém aktivovať.
Autorizácia pre auditovanie SAP HANA
Pre audit SAP HANA sú potrebné systémové oprávnenia „AUDIT ADMIN“ .
Zhrnutie :
V tomto výučbe sme sa naučili nasledujúcu tému -
- Prehľad zabezpečenia SAP HANA.
- Overenie SAP HANA podrobne.
- Autorizácia SAP HANA podrobne.
- Metóda správy používateľov SAP HANA.
- Metóda správy rolí SAP HANA
- Proces správy licencií SAP HANA.
- Proces auditu rolí SAP HANA.