SAP HANA Security: Komplett handledning

Innehållsförteckning:

Anonim
Vad är Sap Hana Security?

SAP HANA Security skyddar viktiga data från obehörig åtkomst och säkerställer att standarder och efterlevnad uppfylls som säkerhetsstandard som antagits av företaget.

SAP HANA tillhandahåller en anläggning, dvs Multitenant-databas, där flera databaser kan skapas på ett enda SAP HANA-system. Det är känt som databasbehållare för flera enheter. Så SAP HANA tillhandahåller alla säkerhetsrelaterade funktioner för alla databaser med flera enheter.

SAP HANA Tillhandahåll följande säkerhetsrelaterade funktion -

  • Användar- och rollhantering
  • Tillstånd
  • Autentisering
  • Kryptering av data i Persistence Layer
  • Kryptering av data i Network Layer

SAP HANA-användare och roll

SAP HANA användar- och rollhanteringskonfiguration beror på arkitekturen enligt nedan -

  1. 3-Tier Arkitektur.

    SAP HANA kan användas som en relationsdatabas i en 3-Tier Architecture.

    I den här arkitekturen installeras säkerhetsfunktioner (auktorisering, autentisering, kryptering och granskning) på applikationsserverlagren.

    SAP-applikationen (ERP, BW, etc.) ansluter till databasen endast med hjälp av en teknisk användare eller databasadministratör (Basis Person). Slutanvändaren kan inte direkt komma åt databasen eller databasservern.

  1. 2-Tier Arkitektur.

    SAP HANA Extended Application Services (SAP HANA XS) är baserad på 2-lags arkitektur, där applikationsserver, webbserver och utvecklingsmiljö är inbäddade i ett enda system.

SAP HANA-autentisering

Databasanvändare identifierar vem som har åtkomst till SAP HANA-databasen. Det verifieras genom en process som heter "Autentisering." SAP HANA stöder många autentiseringsmetoder. Enkel inloggning (SSO) används för att integrera flera autentiseringsmetoder.

SAP HANA stöder följande autentiseringsmetod -

  • Kerberos: Det kan användas i följande fall -
    • Direkt från JDBC och ODBC Client (SAP HANA Studio).
    • När HTTP används för att komma åt SAP HANA XS.
  • Användarnamn Lösenord

    När användaren anger sitt användarnamn och lösenord för databasen autentiserar SAP HANA Database användaren.

  • Security Assertion Markup Language (SAML)

    SAML kan användas för att autentisera SAP HANA-användare, som har åtkomst till SAP HANA-databas direkt via ODBC / JDBC. Det är en process för att mappa extern användaridentitet till den interna databasanvändaren, så att användaren kan logga in i SAP-databasen med det externa användar-id: t.

  • SAP-inloggnings- och påståendebiljetter

    Användaren kan autentiseras med inloggning eller påståendebiljetter, som konfigureras och utfärdas till användaren för att skapa en biljett.

  • X.509 Kundcertifikat

    När SAP HANA XS Access via HTTP kan klientcertifikat signerade av en betrodd certifieringsmyndighet (CA) användas för att autentisera användaren.

SAP HANA-auktorisering

SAP HANA-auktorisering krävs när en användare som använder klientgränssnitt (JDBC, ODBC eller HTTP) för att få åtkomst till SAP HANA-databasen.

Beroende på behörighet som ges till användaren kan den utföra databasåtgärder på databasobjektet. Denna behörighet kallas "privilegier".

Privilegierna kan beviljas användaren direkt eller indirekt (genom roller). Alla privilegier som tilldelas användare kombineras som en enda enhet.

När en användare försöker komma åt något SAP HANA-databasobjekt utför HANA System behörighetskontroll av användaren genom användarroller och ger behörigheterna direkt.

När begärda privilegier hittades hoppar HANA-systemet över ytterligare kontroller och ger åtkomst till begärda databasobjekt.

I SAP HANA är följande behörigheter deras -

Privilegier Typer Beskrivning
Systemrättigheter Den styr normal systemaktivitet. Systemprivilegier används främst för -
  • Skapa och ta bort schema i SAP HANA-databas
  • Hantera användare och roll i SAP HANA Database
  • Övervakning och spårning av SAP HANA-databas
  • Utföra säkerhetskopiering av data
  • Hanteringslicens
  • Hanteringsversion
  • Hantera revision
  • Importera och exportera innehåll
  • Underhålla leveransenheter
Objektprivilegier Objektprivilegier är SQL-privilegier som används för att ge behörighet att läsa och ändra databasobjekt. För att komma åt databasobjekt behöver användaren objektbehörigheter på databasobjekt eller på det schema som databasobjekt finns i. Objektbehörigheter kan beviljas katalogobjekt (tabell, vy etc.) eller objekt som inte är katalog (utvecklingsobjekt). Objektprivilegierna är som nedan -
  • SKAPA NÅGON
  • UPPDATERA, INSÄTT, VÄLJ, RADERA, DROP, ALTER, KÖR
  • INDEX, TRIGGER, DEBUG, REFERENSER
Analytiska privilegier Analytiska privilegier används för att tillåta läsåtkomst på data från SAP HANA informationsmodell (attributvy, analytisk vy, beräkningsvy).
  • Denna behörighet utvärderas under bearbetning av frågor.
  • Analytiska privilegier ger olika användaråtkomst på olika delar av data i
  • Samma informationsvy baserat på användarroll.
  • Analytiska privilegier används i SAP HANA-databasen för att tillhandahålla data på radnivå
Kontroll för att enskilda användare ska se data finns i samma vy.
Paketrättigheter Paketrättigheter används för att ge auktorisering för åtgärder på enskilda paket i SAP HANA Repository.
Ansökningsrättigheter Applikationsbehörigheter krävs i SAP HANA Extended Application Services (SAP HANA XS) för åtkomstapplikation. Ansökningsbehörigheter beviljas och återkallas genom procedurerna GRANT_APPLICATION_PRIVILEGE och REVOKE_APPLICATION_PRIVILEGE i schemat _SYS_REPO.
Behörigheter för användaren Det är ett SQL-privilegium som kan beviljas av användaren på egen användare. ATTACH DEBUGGER är det enda privilegium som kan beviljas en användare.

SAP HANA användaradministration och rollhantering

För att komma åt SAP HANA-databas krävs användare. Beroende på olika säkerhetspolicyer finns det två typer av användare i SAP HANA enligt nedan -

  1. Teknisk användare (DBA- användare ) - Det är en användare som direkt arbetar med SAP HANA-databas med nödvändiga behörigheter. Normalt raderas inte dessa användare från databasen.

    Dessa användare skapas för en administrativ uppgift som att skapa ett objekt och bevilja behörigheter för databasobjekt eller för applikationen.

    SAP HANA Databasesystem tillhandahåller följande användare som standard som standardanvändare

  • SYSTEMET
  • SYS
  • _SYS_REPO
  1. Databas eller riktig användare : Varje användare som vill arbeta med SAP HANA-databas behöver en databasanvändare. Databasanvändare är en riktig person som arbetar på SAP HANA.

    Det finns två typer av databasanvändare enligt nedan -

Användartyp Beskrivning Roll tilldelad
Standardanvändare Den här användaren kan skapa objekt i ett eget schema och läsa data i systemvyerna. Standardanvändare skapad med uttalandet "CREATE USER". PUBLIC-roll tilldelas för lästa systemvyer.
Begränsad användare Begränsad användare har ingen fullständig SQL-åtkomst via en SQL-konsol och skapas med "CREATE RESTRICTED USER" -uttalande. Om behörigheter krävs för användning av någon applikation tillhandahålls de genom rollen.
  • Begränsad användare kan inte skapa databasobjekt.
  • Begränsad användare kan inte visa data i databasen.
  • Begränsad användare ansluter till databasen endast via HTTP.
  • ODBC / JDBC-åtkomst för klientanslutning måste aktiveras med SQL-sats.
 RESTRICTED_USER_ODBC_ACCESS eller RESTRICTED_USER_JDBC_ACCESS-roll krävs för användaren för fullständig åtkomst till ODBC / JDBC-funktionalitet

SAP HANA-användaradministratör har tillgång till följande aktivitet -

  1. Skapa / ta bort användare.
  2. Definiera och skapa roll.
  3. Bevilja roll till användaren.
  4. Återställ användarlösenord.
  5. Återaktivera / avaktivera användare enligt krav.
  1. Skapa användare i SAP HANA- endast databasanvändare med ROLE ADMIN-behörigheter kan skapa användare och roll i SAP HANA.

    Steg 1) För att skapa ny användare i SAP HANA Studio, gå till säkerhetsfliken som visas nedan och följ följande steg;

    1. Gå till säkerhetsnoden.
    2. Välj användare (högerklicka) -> ny användare.

    Steg 2) En skärm för användarskapande visas.

    1. Skriv in ditt användarnamn.
    2. Ange lösenord för användaren.
    3. Dessa är autentiseringsmekanismer, som standard används användarnamn / lösenord för autentisering.

Genom att klicka på deploy Button kommer användaren att skapas.

2. Definiera och skapa roll

En roll är en samling privilegier som kan beviljas andra användare eller roll. Rollen inkluderar behörigheter för databasobjekt och applikation och beroende på jobbet.

Det är en standardmekanism för att bevilja privilegier. Privilegier kan tilldelas användaren direkt. Det finns många standardroller (t.ex. MODELLING, MONITORING, etc.) tillgängliga i SAP HANA-databasen.

Vi kan använda standardrollen som en mall för att skapa en anpassad roll.

En roll kan innehålla följande behörigheter -

  • Systembehörigheter för administrativ och utvecklingsuppgift (CATALOG READ, REVISIONSADMIN, etc.)
  • Objektprivilegier för databasobjekt (SELECT, INSERT, DELETE, etc.)
  • Analytiska privilegier för SAP HANA informationsvy
  • Paketrättigheter för förvarspaket (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
  • Programrättigheter för SAP HANA XS-applikationer.
  • Behörigheter för användaren (för felsökning av proceduren).

Rollskapande

Steg 1) I detta steg,

  1. Gå till säkerhetsnod i SAP HANA System.
  2. Välj Rollnod (högerklicka) och välj Ny roll.

Steg 2) En skärm för att skapa roller visas.

  1. Ange rollnamn under nytt rollblock.
  2. Välj Beviljad rollflik och klicka på "+" -ikonen för att lägga till standardroll eller avslutande roll.
  3. Välj önskad roll (t.ex. MODELLERING, ÖVERVAKNING, etc.)

STEG 3) I detta steg,

  1. Vald roll läggs till på fliken Beviljade roller.
  2. Privilegier kan tilldelas användaren direkt genom att välja Systemprivilegier, objektprivilegier, Analytiska privilegier, Paketprivilegier, etc.
  3. Klicka på ikonen för att skapa roll.

Kryssa för alternativet "Beviljas andra användare och roller" om du vill tilldela denna roll till andra användare och roller.

3. Bevilja roll till användare

STEG 1) I det här steget tilldelar vi roll "MODELLING_VIEW" till en annan användare "ABHI_TEST".

  1. Gå till användarnas undernod under säkerhetsnod och dubbelklicka på den. Användarfönstret visas.
  2. Klicka på Beviljade roller "+" -ikonen.
  3. Ett popup-fönster visas, sök rollens namn som kommer att tilldelas användaren.

STEG 2) I detta steg kommer rollen "MODELLING_VIEW" att läggas till under roll.

STEG 3) I detta steg,

  1. Klicka på Distribuera-knappen.
  2. Ett meddelande "User 'ABHI_TEST" ändras visas.

4. Återställa användarlösenord

Om användarlösenordet måste återställas går du till användarnamnod under Säkerhetsnod och dubbelklickar på det. Användarfönstret visas.

STEG 1) I detta steg,

  1. Ange nytt lösenord.
  2. Ange Bekräfta lösenord.

STEG 2) I detta steg,

  1. Klicka på Distribuera-knappen.
  2. Meddelandet "Användaren 'ABHI_TEST" ändras visas.

5. Återaktivera / avaktivera användare

Gå till användarnas undernod under säkerhetsnod och dubbelklicka på den. Användarfönstret visas.

Det finns Avaktivera användarikonen. Klicka på det

Ett bekräftelsemeddelande "Popup" visas. Klicka på "Ja" -knappen.

Meddelandet "Användaren 'ABHI_TEST' inaktiverad" visas. Avaktiveringsikonen ändras med namnet "Aktivera användare". Nu kan vi aktivera användare från samma ikon.

SAP HANA Licenshantering

Licensnyckeln krävs för att använda SAP HANA-databas. En licensnyckel kan installeras och tas bort med SAP HANA Studio, SAP HANA HDBSQL Command Line-verktyg och HANA SQL Query-redigerare.

SAP HANA-databasen stöder två typer av licensnycklar -

  • Permanent licensnyckel: Permanenta licensnycklar är giltiga till utgångsdatum. Vi måste begära och tillämpa licensnyckel före utgången. Om licensnyckeln går ut installeras tillfällig licensnyckel automatiskt i 28 dagar.
  • Tillfällig licensnyckel: Detta installeras automatiskt med en ny SAP HANA-databasinstallation. Det är giltigt i 90 dagar och senare kan du ansöka om permanent nyckel från SAP.

Auktorisering av licenshantering

"LICENS admin" privilegier krävs för License Management.

SAP HANA-granskning

Med SAP HANA-granskningsfunktioner kan du övervaka och spela in åtgärder som utförs i SAP HANA System. Dessa funktioner bör aktiveras för systemet innan granskningspolicy skapas.

Auktorisering för SAP HANA Auditing

"Revision admin" System privilegier som krävs för SAP HANA revision.

Sammanfattning :

I denna handledning har vi lärt oss följande ämne -

  • SAP HANA säkerhetsöversikt.
  • SAP HANA-autentisering i detalj.
  • SAP HANA-auktorisering i detalj.
  • SAP HANA användaradministrationsmetod.
  • SAP HANA Rolladministrationsmetod
  • SAP HANA licenshanteringsprocess.
  • SAP HANA Rollgranskningsprocess.