Varnost SAP HANA: Popolna vadnica

Kazalo:

Anonim
Kaj je Sap Hana Security?

SAP HANA Security varuje pomembne podatke pred nepooblaščenim dostopom in zagotavlja, da standardi in skladnost ustrezajo varnostnim standardom, ki jih je sprejelo podjetje.

SAP HANA ponuja objekt, tj. Multitenant bazo podatkov, v kateri je mogoče ustvariti več baz podatkov v enem sistemu SAP HANA. Znan je kot večnamenski vsebnik baze podatkov. Torej SAP HANA nudi vse varnostne funkcije za vse vsebniške baze podatkov z več nosilci.

SAP HANA nudi naslednje varnostne funkcije -

  • Upravljanje uporabnikov in vlog
  • Pooblastilo
  • Preverjanje pristnosti
  • Šifriranje podatkov v plasti obstojnosti
  • Šifriranje podatkov v omrežni plasti

Uporabnik in vloga SAP HANA

Konfiguracija upravljanja uporabnikov in vlog SAP HANA je odvisna od arhitekture, kot je prikazano spodaj -

  1. 3-stopenjska arhitektura.

    SAP HANA se lahko uporablja kot relacijska baza podatkov v tristopenjski arhitekturi.

    V tej arhitekturi so na slojih aplikacijskega strežnika nameščene varnostne funkcije (avtorizacija, overjanje, šifriranje in revizija).

    Aplikacija SAP (ERP, BW itd.) Se z bazo podatkov poveže le s pomočjo tehničnega uporabnika ali skrbnika baze podatkov (Basis Person). Končni uporabnik ne more neposredno dostopati do baze podatkov ali strežnika baz podatkov.

  1. 2-stopenjska arhitektura.

    Razširjene aplikacijske storitve SAP HANA (SAP HANA XS) temeljijo na arhitekturi 2-Tier, v kateri so aplikacijski strežnik, spletni strežnik in razvojno okolje vgrajeni v en sam sistem.

Preverjanje pristnosti SAP HANA

Uporabnik zbirke podatkov identificira, kdo dostopa do baze podatkov SAP HANA. Preverjeno je s postopkom, imenovanim "Preverjanje pristnosti". SAP HANA podpira številne metode preverjanja pristnosti. Enotna prijava (SSO) se uporablja za vključitev več načinov overjanja.

SAP HANA podpira naslednji način preverjanja pristnosti -

  • Kerberos: Uporablja se lahko v naslednjem primeru -
    • Neposredno od odjemalca JDBC in ODBC (SAP HANA Studio).
    • Ko se HTTP uporablja za dostop do SAP HANA XS.
  • Uporabniško ime geslo

    Ko uporabnik vnese uporabniško ime in geslo svoje zbirke podatkov, potem baza podatkov SAP HANA preveri pristnost uporabnika.

  • Označevalni jezik varnostne trditve (SAML)

    SAML se lahko uporablja za preverjanje pristnosti uporabnika SAP HANA, ki dostopa do baze podatkov SAP HANA neposredno prek ODBC / JDBC. To je postopek preslikave identitete zunanjega uporabnika na notranjega uporabnika baze podatkov, tako da se lahko uporabnik prijavi v bazo podatkov sap z ID-jem zunanjega uporabnika.

  • Vstopnice za prijavo in uveljavitev SAP

    Uporabnika lahko overite z vstopnicami za prijavo ali uveljavljanjem, ki je konfigurirana in izdana uporabniku za izdelavo vstopnice.

  • Potrdila strank X.509

    Ko SAP HANA XS Access HTTP, lahko za overjanje uporabnika uporabite odjemalska potrdila, ki jih podpiše zaupanja vreden overitelj (CA).

Pooblastilo za SAP HANA

Pooblastilo za SAP HANA je potrebno, ko uporabnik z odjemalskim vmesnikom (JDBC, ODBC ali HTTP) dostopa do baze podatkov SAP HANA.

Glede na pooblastilo, ki je uporabniku omogočeno, lahko izvaja operacije baze podatkov na objektu baze podatkov. To pooblastilo se imenuje "privilegiji".

Privilegiji se lahko uporabniku dodelijo neposredno ali posredno (z vlogami). Vsi privilegiji, dodeljeni uporabnikom, so združeni kot ena enota.

Ko uporabnik poskuša dostopati do katerega koli predmeta baze podatkov SAP HANA, sistem HANA izvede preverjanje pooblastila uporabnika prek uporabniških vlog in neposredno podeli privilegije.

Ko najde zahtevane privilegije, sistem HANA preskoči nadaljnja preverjanja in odobri dostop do zahtev zbirke podatkov.

V SAP HANA so naslednje privilegije -

Vrste privilegijev Opis
Sistemski privilegiji Nadzira normalno delovanje sistema. Sistemski privilegiji se v glavnem uporabljajo za -
  • Ustvarjanje in brisanje sheme v zbirki podatkov SAP HANA
  • Upravljanje uporabnika in vloge v zbirki podatkov SAP HANA
  • Spremljanje in sledenje baze podatkov SAP HANA
  • Izvajanje varnostnih kopij podatkov
  • Upravljanje licence
  • Upravljanje različice
  • Upravljanje revizije
  • Uvoz in izvoz vsebine
  • Vzdrževanje dostavnih enot
Privilegiji objekta Privilegiji objektov so privilegiji SQL, ki se uporabljajo za pooblastilo za branje in spreminjanje predmetov baze podatkov. Za dostop do predmetov baze podatkov uporabnik potrebuje privilegije objektov na objektih baze podatkov ali na shemi, v kateri objekt baze podatkov obstaja. Privilegiji predmetov se lahko dodelijo kataloškim objektom (tabela, pogled itd.) Ali nekatološkim objektom (razvojni objekti). Privilegiji predmetov so navedeni spodaj -
  • USTVARITE VSE
  • POSODOBI, Vstavi, izberi, izbriši, spusti, spremeni, izvrši
  • KAZALO, TRIGGER, DEBUG, REFERENCE
Analitični privilegiji Analitični privilegiji se uporabljajo za omogočanje bralnega dostopa do podatkov informacijskega modela SAP HANA (pogled atributov, analitični pogled, pogled izračuna).
  • Ta privilegij se oceni med obdelavo poizvedbe.
  • Analytic Privileges omogoča različen dostop uporabnikov do različnih delov podatkov v
  • Isti informacijski pogled glede na uporabniško vlogo.
  • Analitični privilegiji se v bazi podatkov SAP HANA uporabljajo za zagotavljanje podatkov na ravni vrstic
Nadzor posameznih uporabnikov za prikaz podatkov je v istem pogledu.
Privilegiji paketa Privilegiji paketov se uporabljajo za odobritev dejanj na posameznih paketih v repozitoriju SAP HANA.
Privilegiji aplikacije Za dostop do aplikacije so v razširenih aplikacijskih storitvah SAP HANA (SAP HANA XS) potrebne privilegije. Programski privilegiji se podelijo in prekličejo po postopkihGRANT_APPLICATION_PRIVILEGE in REVOKE_APPLICATION_PRIVILEGE v shemi _SYS_REPO.
Privilegiji uporabnika To so privilegiji SQL, ki jih lahko uporabnik podeli sam. ATTACH DEBUGGER je edini privilegij, ki ga lahko dodeli uporabnik.

Administracija uporabnikov in upravljanje vlog SAP HANA

Za dostop do baze podatkov SAP HANA potrebujejo uporabniki. Glede na različno varnostno politiko obstajata dve vrsti uporabnikov v SAP HANA, kot je prikazano spodaj -

  1. Tehnični Uporabnik (DBA Uporabnik) - To je uporabnik, ki neposredno delo s SAP HANA zbirko podatkov s potrebnimi pooblastili. Običajno se ti uporabniki ne izbrišejo iz baze podatkov.

    Ti uporabniki so ustvarjeni za skrbniško nalogo, kot je ustvarjanje predmeta in dodelitev pravic za objekt baze podatkov ali za aplikacijo.

    Sistem baz podatkov SAP HANA privzeto kot naslednji uporabnik nudi naslednjemu uporabniku:

  • SISTEM
  • SYS
  • _SYS_REPO
  1. Baza podatkov ali dejanski uporabnik: Vsak uporabnik, ki želi delati na bazi podatkov SAP HANA, potrebuje uporabnika baze podatkov. Uporabnik zbirke podatkov je resnična oseba, ki dela na SAP HANA.

    Spodaj sta dve vrsti uporabnikov zbirke podatkov -

Vrsta uporabnika Opis Vloga dodeljena
Standardni uporabnik Ta uporabnik lahko ustvari predmete v lastni shemi in bere podatke v sistemskih pogledih. Standardni uporabnik, ustvarjen z izjavo "CREATE USER". Vloga PUBLIC je dodeljena za branje sistemskih pogledov.
Omejeni uporabnik Omejeni uporabnik nima popolnega dostopa do SQL prek konzole SQL in je ustvarjen z izjavo "USTVARI OMEJENEGA UPORABNIKA". Če so privilegiji, potrebni za uporabo katere koli aplikacije, navedeni v vlogi.
  • Omejeni uporabnik ne more ustvariti objektov baze podatkov.
  • Omejeni uporabnik si podatkov v zbirki podatkov ne more ogledati.
  • Omejeni uporabnik se poveže z bazo podatkov samo prek HTTP.
  • Dostop ODBC / JDBC za odjemalsko povezavo mora biti omogočen s stavkom SQL.
 RESTRICTED_USER_ODBC_ACCESS ali RESTRICTED_USER_JDBC_ACCESS vloga, potrebna uporabniku za popoln dostop do funkcij ODBC / JDBC

Uporabniški skrbnik SAP HANA ima dostop do naslednje dejavnosti -

  1. Ustvari / izbriši uporabnika.
  2. Določite in ustvarite vlogo.
  3. Dodelite vlogo uporabniku.
  4. Ponastavitev uporabniškega gesla.
  5. Ponovno aktivirajte / deaktivirajte uporabnika v skladu z zahtevo.
  1. Ustvari uporabnika v SAP HANA - samo uporabnik baze podatkov s privilegiji ROLE ADMIN lahko ustvari uporabnika in vlogo v SAP HANA.

    1. korak) Če želite ustvariti novega uporabnika v SAP HANA Studio, pojdite na zavihek varnost, kot je prikazano spodaj, in sledite naslednjim korakom;

    1. Pojdite na varnostno vozlišče.
    2. Izberite Uporabniki (desni klik) -> Nov uporabnik.

    Korak 2) Pojavi se zaslon za ustvarjanje uporabnikov.

    1. Vnesite uporabniško ime.
    2. Vnesite geslo za uporabnika.
    3. To sta avtentikacijski mehanizem, za avtentikacijo se privzeto uporablja uporabniško ime / geslo.

S klikom na gumb za razmestitev bo ustvarjen uporabnik.

2. Določite in ustvarite vlogo

Vloga je zbirka privilegijev, ki se lahko dodelijo drugim uporabnikom ali vlogi. Vloga vključuje privilegije za objekt in aplikacijo baze podatkov in glede na naravo opravila.

To je standardni mehanizem za dodelitev privilegijev. Privilegiji se lahko neposredno podelijo uporabniku. V bazi podatkov SAP HANA je na voljo veliko standardnih vlog (npr. MODELIRANJE, SPREMLJANJE itd.).

Standardno vlogo lahko uporabimo kot predlogo za ustvarjanje vloge po meri.

Vloga lahko vsebuje naslednje privilegije -

  • Sistemski privilegiji za administrativne in razvojne naloge (PREBERITE KATALOG, REVIZIJSKI UPRAVNIK itd.)
  • Privilegiji objektov za objekte baze podatkov (SELECT, INSERT, DELETE itd.)
  • Analitične privilegije za informacijski pogled SAP HANA
  • Privilegiji paketov na repozitorijskih paketih (REPO.READ, REPO.EDIT_NATIVE_OBJECTS itd.)
  • Privilegiji aplikacij za aplikacije SAP HANA XS.
  • Privilegiji uporabnika (za razhroščevanje postopka).

Ustvarjanje vlog

Korak 1) V tem koraku

  1. Pojdite na Varnostno vozlišče v sistemu SAP HANA.
  2. Izberite vozlišče vloge (desni klik) in izberite Nova vloga.

Korak 2) Prikaže se zaslon za ustvarjanje vlog.

  1. Vnesite ime vloge pod New Role Block.
  2. Izberite zavihek Odobrena vloga in kliknite ikono "+", da dodate standardno vlogo ali izhodno vlogo.
  3. Izberite želeno vlogo (npr. MODELIRANJE, NADZOR itd.)

KORAK 3) V tem koraku:

  1. Izbrana vloga je dodana na zavihku Odobrene vloge.
  2. Pooblastila lahko uporabniku dodelite neposredno z izbiro sistemskih privilegijev, privilegij objektov, analitičnih privilegijev, privilegij paketov itd.
  3. Kliknite ikono za razmestitev, da ustvarite vlogo.

Označite možnost "Odobreno drugim uporabnikom in vlogam", če želite to vlogo dodeliti drugemu uporabniku in vlogi.

3. Dodelite vlogo uporabniku

KORAK 1) V tem koraku bomo vlogo "MODELLING_VIEW" dodelili drugemu uporabniku "ABHI_TEST".

  1. Pojdite na Uporabniško podvozišče pod Varnostno vozlišče in ga dvokliknite. Prikaže se uporabniško okno.
  2. Kliknite ikono Odobrene vloge "+".
  3. Pojavi se pojavno okno z imenom vloge za iskanje, ki bo dodeljeno uporabniku.

2. KORAK) V tem koraku bo vloga "MODELLING_VIEW" dodana pod vlogo.

KORAK 3) V tem koraku:

  1. Kliknite gumb za uvajanje.
  2. Prikaže se sporočilo "Uporabnik 'ABHI_TEST" spremenjeno.

4. Ponastavitev uporabniškega gesla

Če je treba uporabniško geslo ponastaviti, pojdite na Uporabniško podvozišče pod Varnostno vozlišče in ga dvokliknite. Prikaže se uporabniško okno.

KORAK 1) V tem koraku:

  1. Vnesite novo geslo.
  2. Vnesite Potrdite geslo.

KORAK 2) V tem koraku:

  1. Kliknite gumb za uvajanje.
  2. Prikaže se sporočilo "Uporabnik 'ABHI_TEST" spremenjen.

5. Ponovno aktiviranje / deaktiviranje uporabnika

Pojdite na Uporabniško podvozišče pod Varnostno vozlišče in ga dvokliknite. Prikaže se uporabniško okno.

Obstaja ikona za deaktiviranje uporabnika. Kliknite nanjo

Pojavilo se bo potrditveno sporočilo "Popup". Kliknite gumb 'Da'.

Prikaže se sporočilo "Uporabnik 'ABHI_TEST' deaktiviran". Ikona za deaktiviranje se spremeni z imenom "Aktiviraj uporabnika". Zdaj lahko uporabnika aktiviramo z isto ikono.

Upravljanje licenc za SAP HANA

Licenčni ključ je potreben za uporabo zbirke podatkov SAP HANA. Licenčni ključ lahko namestite in izbrišete z orodjem SAP HANA Studio, orodjem za ukazno vrstico SAP HANA HDBSQL in urejevalnikom poizvedb HANA SQL.

Podatkovna baza SAP HANA podpira dve vrsti licenčnega ključa -

  • Trajni licenčni ključ: trajni licenčni ključi so veljavni do datuma poteka. Pred potekom veljavnosti moramo zahtevati in uporabiti licenčni ključ. Če licenčni ključ poteče, se začasni licenčni ključ samodejno namesti za 28 dni.
  • Začasni licenčni ključ: Ta se samodejno namesti z novo namestitvijo zbirke podatkov SAP HANA. Velja 90 dni, pozneje pa lahko zaprosite za stalni ključ podjetja SAP.

Pooblastilo za upravljanje licenc

Za upravljanje licenc so potrebni privilegiji "LICENSE ADMIN" .

Revizija SAP HANA

Funkcije revizije SAP HANA vam omogočajo spremljanje in snemanje dejanj, ki se izvajajo v sistemu SAP HANA. Te funkcije je treba aktivirati za sistem, preden ustvarite revizijsko politiko.

Pooblastilo za revizijo SAP HANA

Sistemski privilegiji "AUDIT ADMIN", potrebni za revizijo SAP HANA.

Povzetek :

V tej vadnici smo se naučili naslednje teme -

  • Pregled varnosti SAP HANA.
  • Podrobno preverjanje pristnosti SAP HANA.
  • Podrobno dovoljenje za SAP HANA.
  • Način administracije uporabnika SAP HANA.
  • Način upravljanja vlog SAP HANA
  • Proces upravljanja licenc SAP HANA.
  • Postopek revizije vloge SAP HANA.