Сигурност на SAP HANA: Пълен урок

Какво е Sap Hana Security?

SAP HANA Security защитава важни данни от неоторизиран достъп и гарантира, че стандартите и съответствието отговарят на стандартите за сигурност, приети от компанията.

SAP HANA предоставя съоръжение, т.е. Multitenant база данни, в която могат да бъдат създадени множество бази данни на една система SAP HANA. Известен е като контейнер за бази данни на множество клиенти. Така че SAP HANA предоставя всички функции, свързани със сигурността, за всички контейнери за бази данни с множество клиенти.

SAP HANA Предоставя следната функция, свързана със сигурността -

• Управление на потребителите и ролите
• Разрешение
• Удостоверяване
• Шифроване на данни в слой за устойчивост
• Шифроване на данни в мрежов слой

Потребител и роля на SAP HANA

Конфигурацията за управление на потребителите и ролята на SAP HANA зависи от архитектурата, както е показано по-долу -

1. 3-степенна архитектура.

   SAP HANA може да се използва като релационна база данни в тристепенна архитектура.

   В тази архитектура на слоевете на сървъра на приложения се инсталират функции за сигурност (оторизация, удостоверяване, криптиране и одит).

   Приложението SAP (ERP, BW и др.) Се свързва с база данни само с помощта на технически потребител или администратор на база данни (Basis Person). Крайният потребител няма пряк достъп до база данни или сървър на база данни.

2. Двустепенна архитектура.

   Разширените услуги за приложения на SAP HANA (SAP HANA XS) се основават на 2-та архитектура, в която сървърът за приложения, уеб сървърът и средата за разработка са вградени в една система.

Удостоверяване на SAP HANA

Потребителят на базата данни идентифицира кой има достъп до базата данни на SAP HANA. Проверява се чрез процес, наречен „Удостоверяване“. SAP HANA поддържа много методи за удостоверяване. Единният вход (SSO) се използва за интегриране на няколко метода за удостоверяване.

SAP HANA поддържа следния метод за удостоверяване -

• Kerberos: Може да се използва в следния случай -
  • Директно от JDBC и ODBC клиент (SAP HANA Studio).
  • Когато HTTP се използва за достъп до SAP HANA XS.
• Потребителско име / парола

  Когато потребителят въведе своето потребителско име и парола в базата данни, SAP HANA база данни удостоверява потребителя.

• Език за маркиране на твърдение за сигурност (SAML)

  SAML може да се използва за удостоверяване на потребителя на SAP HANA, който има достъп до базата данни на SAP HANA директно чрез ODBC / JDBC. Това е процес на картографиране на идентичността на външния потребител с вътрешния потребител на база данни, така че потребителят може да влезе в базата данни на sap с идентификатора на външния потребител.
• Билети за влизане и твърдение за SAP

  Потребителят може да бъде удостоверен чрез билети за влизане или твърдение, които се конфигурират и издават на потребителя за създаване на билет.

• X.509 клиентски сертификати

  Когато SAP HANA XS Access чрез HTTP, клиентски сертификати, подписани от доверен сертифициращ орган (CA), могат да се използват за удостоверяване на потребителя.

Разрешение за SAP HANA

Упълномощаването на SAP HANA се изисква, когато потребител, използващ клиентски интерфейс (JDBC, ODBC или HTTP) за достъп до базата данни на SAP HANA.

В зависимост от оторизацията, предоставена на потребителя, той може да извършва операции с база данни върху обекта на базата данни. Това упълномощаване се нарича „привилегии“.

Привилегиите могат да бъдат предоставени на потребителя директно или индиректно (чрез роли). Всички привилегии, присвоени на потребителите, се обединяват като едно цяло.

Когато потребителят се опита да осъществи достъп до който и да е обект на базата данни на SAP HANA, системата HANA извършва проверка на оторизацията на потребителя чрез потребителски роли и директно предоставя привилегиите.

Когато бъдат намерени привилегии, системата HANA прескача допълнителни проверки и предоставя достъп до заявки за обекти на база данни.

В SAP HANA следните привилегии са техните -

Видове привилегии	Описание
Системни привилегии	Той контролира нормалната активност на системата. Системните привилегии се използват главно за - Създаване и изтриване на схема в базата данни на SAP HANA Управление на потребител и роля в базата данни на SAP HANA Мониторинг и проследяване на базата данни SAP HANA Извършване на архивиране на данни Управление на лиценз Управляваща версия Управление на одита Импортиране и експортиране на съдържание Поддържане на единици за доставка
Привилегии на обекта	Привилегиите на обекти са SQL привилегии, които се използват за даване на разрешение за четене и промяна на обекти на база данни. За достъп до обекти на база данни потребителят се нуждае от привилегии на обекти на обекти на база данни или на схемата, в която съществува обектът на базата данни. Обектни привилегии могат да бъдат предоставени на обекти в каталога (таблица, изглед и т.н.) или обекти, които не са в каталог (обекти на разработка). Привилегиите на обекта са както по-долу - СЪЗДАЙТЕ ВСЯКО АКТУАЛИЗИРАНЕ, ВЪВЕЖДАНЕ, ИЗБИРАНЕ, ИЗТРИВАНЕ, КАПАНЕ, ПРОМЯНА, ИЗПЪЛНЕНИЕ ИНДЕКС, TRIGGER, ДЕБУГ, РЕФЕРЕНЦИИ
Аналитични привилегии	Аналитичните привилегии се използват, за да позволят достъп за четене на данни от информационния модел на SAP HANA (изглед на атрибути, аналитичен изглед, изглед на изчисление). Тази привилегия се оценява по време на обработката на заявката. Аналитичните привилегии предоставят различен потребителски достъп до различна част от данните в Същият информационен изглед въз основа на ролята на потребителя. Аналитичните привилегии се използват в базата данни на SAP HANA за предоставяне на данни на ниво ред Контролът за отделните потребители да виждат данните е в същия изглед.
Привилегии на пакета	Привилегиите на пакетите се използват за предоставяне на оторизация за действия върху отделни пакети в хранилището на SAP HANA.
Права на приложение	Привилегиите за приложение се изискват в In SAP HANA Extended Application Services (SAP HANA XS) за приложение за достъп. Привилегиите на приложението се предоставят и отнемат чрез процедуритеGRANT_APPLICATION_PRIVILEGE и REVOKE_APPLICATION_PRIVILEGE в схемата _SYS_REPO.
Привилегии на потребителя	Това са SQL привилегии, които могат да предоставят от потребителя на свой потребител. ATTACH DEBUGGER е единствената привилегия, която може да бъде предоставена на потребител.

Администрация и управление на роли на SAP HANA

За достъп до базата данни на SAP HANA се изискват потребители. В зависимост от различните правила за сигурност има два типа потребители в SAP HANA, както е показано по-долу -

1. Технически потребител (DBA потребител) - Това е потребител, който работи директно с базата данни на SAP HANA с необходимите привилегии. Обикновено тези потребители не се изтриват от базата данни.

   Тези потребители са създадени за административна задача като създаване на обект и предоставяне на привилегии на обект на база данни или на приложението.

   Системата за бази данни на SAP HANA предлага по подразбиране следния потребител като стандартен потребител-

• СИСТЕМА
• SYS
• _SYS_REPO

2. База данни или реален потребител: Всеки потребител, който иска да работи върху базата данни на SAP HANA, се нуждае от потребител на база данни. Потребителят на база данни е реален човек, който работи върху SAP HANA.

   Има два типа потребители на база данни, както по-долу -

Тип потребител	Описание	Присвоена роля
Стандартен потребител	Този потребител може да създава обекти в собствена схема и чете данни в системни изгледи. Стандартен потребител, създаден с израза „CREATE USER“.	Ролята PUBLIC е присвоена за системни изгледи за четене.
Ограничен потребител	Ограниченият потребител няма пълен SQL достъп чрез SQL конзола и е създаден с израза „CREATE RESTRICTED USER“. Ако привилегиите се изискват за използване на което и да е приложение, те се предоставят чрез ролята. Ограниченият потребител не може да създава обекти на база данни. Ограниченият потребител не може да преглежда данни в базата данни. Ограничен потребител се свързва с база данни само чрез HTTP. Достъпът ODBC / JDBC за клиентска връзка трябва да бъде активиран с SQL оператор.	RESTRICTED_USER_ODBC_ACCESS или RESTRICTED_USER_JDBC_ACCESS роля, необходима на потребителя за пълен достъп до функционалността ODBC / JDBC

Потребителският администратор на SAP HANA има достъп до следната дейност -

1. Създаване / изтриване на потребител.
2. Определете и създайте роля.
3. Предоставете роля на потребителя.
4. Нулиране на потребителска парола.
5. Повторно активиране / деактивиране на потребителя според изискването.

1. Създаване на потребител в SAP HANA - само потребител на база данни с привилегии ROLE ADMIN може да създаде потребител и роля в SAP HANA.

   Стъпка 1) За да създадете нов потребител в SAP HANA Studio, отидете в раздела за сигурност, както е показано по-долу, и следвайте следните стъпки;

   1. Отидете на възел за сигурност.
   2. Изберете Потребители (Щракнете с десния бутон) -> Нов потребител.

   

   Стъпка 2) Появява се екран за създаване на потребител.

   1. Въведете потребителско име.
   2. Въведете парола за потребителя.
   3. Това са механизми за удостоверяване, по подразбиране потребителско име / парола се използва за удостоверяване.

Чрез кликване върху бутона за разполагане ще бъде създаден потребителят.

2. Определете и създайте роля

Ролята е колекция от привилегии, които могат да бъдат предоставени на други потребители или роля. Ролята включва привилегии за обект и приложение на база данни и в зависимост от естеството на работата.

Това е стандартен механизъм за предоставяне на привилегии. Привилегии могат да бъдат предоставени директно на потребителя. В базата данни на SAP HANA има много стандартни роли (например МОДЕЛИРАНЕ, МОНИТОРИНГ и др.).

Можем да използваме стандартната роля като шаблон за създаване на персонализирана роля.

Ролята може да съдържа следните привилегии -

• Системни привилегии за административна задача и задача за разработка (КАТАЛОГ ЧЕТЕНЕ, АДМИТ НА ОДИТ и др.)
• Привилегии на обекти за обекти на база данни (SELECT, INSERT, DELETE и др.)
• Аналитични привилегии за информационен изглед на SAP HANA
• Привилегии за пакети на пакети за хранилища (REPO.READ, REPO.EDIT_NATIVE_OBJECTS и др.)
• Права на приложение за приложения на SAP HANA XS.
• Права на потребителя (за отстраняване на грешки на процедурата).

Създаване на роли

Стъпка 1) В тази стъпка,

1. Отидете на възел за сигурност в системата SAP HANA.
2. Изберете Role Node (Щракнете с десния бутон) и изберете New Role.

Стъпка 2) Показва се екран за създаване на роли.

1. Дайте име на ролята под New Role Block.
2. Изберете раздела Granted Role и кликнете върху иконата "+", за да добавите стандартна роля или излизаща роля.
3. Изберете Желана роля (напр. МОДЕЛИРАНЕ, НАБЛЮДЕНИЕ и др.)

СТЪПКА 3) В тази стъпка,

1. Избраната роля се добавя в раздела „Предоставени роли“.
2. Правата могат да се присвояват на потребителя директно, като се избират Системни привилегии, привилегии на обекти, аналитични привилегии, привилегии за пакети и др.
3. Щракнете върху иконата за разполагане, за да създадете роля.

Отметнете опцията „Предоставя се на други потребители и роли“, ако искате да присвоите тази роля на друг потребител и роля.

3. Предоставяне на роля на потребителя

СТЪПКА 1) В тази стъпка ще присвоим роля "MODELLING_VIEW" на друг потребител "ABHI_TEST".

1. Отидете на потребителски възел под възел за сигурност и щракнете двукратно върху него. Потребителският прозорец ще се покаже.
2. Кликнете върху иконата "+" за предоставени роли.
3. Ще се появи изскачащ прозорец, име на ролята за търсене, което ще бъде присвоено на потребителя.

СТЪПКА 2) В тази стъпка ще се добави роля "MODELLING_VIEW" под Роля.

СТЪПКА 3) В тази стъпка,

1. Щракнете върху бутона за разполагане.
2. Показва се съобщение "Потребителят 'ABHI_TEST" е променен.

4. Нулиране на потребителска парола

Ако потребителската парола трябва да се нулира, отидете на потребителски възел под възел за сигурност и щракнете двукратно върху нея. Потребителският прозорец ще се покаже.

СТЪПКА 1) В тази стъпка,

1. Въведете нова парола.
2. Въведете Потвърдете паролата.

СТЪПКА 2) В тази стъпка,

1. Щракнете върху бутона за разполагане.
2. Показва се съобщение "Потребителят 'ABHI_TEST" е променен.

5. Повторно активиране / деактивиране на потребителя

Отидете на потребителски възел под възел за сигурност и щракнете двукратно върху него. Потребителският прозорец ще се покаже.

Има икона за деактивиране на потребителя. Кликнете върху него

Ще се появи съобщение за потвърждение "Изскачащ прозорец". Щракнете върху бутона „Да“.

Ще се покаже съобщение "Потребителят 'ABHI_TEST' деактивиран". Иконата за деактивиране се променя с име "Активиране на потребител". Сега можем да активираме потребител от същата икона.

Управление на лицензи на SAP HANA

Лицензният ключ е необходим за използване на базата данни SAP HANA. Лицензният ключ може да бъде инсталиран и изтрит с помощта на SAP HANA Studio, инструмента за команден ред SAP HANA HDBSQL и редактора на HANA SQL Query.

Базата данни на SAP HANA поддържа два вида лицензионен ключ -

• Постоянен лицензен ключ: Постоянните лицензионни ключове са валидни до датата на изтичане. Трябва да поискаме и приложим лицензионен ключ, преди да изтече. Ако лицензионният ключ изтече, Временният лицензен ключ се инсталира автоматично за 28 дни.
• Временен лицензионен ключ: Това се инсталира автоматично с нова инсталация на база данни на SAP HANA. Той е валиден 90 дни и по-късно може да кандидатства за постоянен ключ от SAP.

Разрешение за управление на лицензи

За управление на лицензи се изискват права „ЛИЦЕНЗЕН АДМИНИСТРАТОР“ .

Одит на SAP HANA

Функциите за одит на SAP HANA ви позволяват да наблюдавате и записвате действие, което се извършва в системата SAP HANA. Тези функции трябва да бъдат активирани за системата, преди да създадете политика за одит.

Разрешение за одит на SAP HANA

Системни привилегии "AUDIT ADMIN", необходими за одит на SAP HANA.

Резюме :

В този урок научихме следната тема -

• Преглед на сигурността на SAP HANA.
• Подробно удостоверяване на SAP HANA.
• Подробно разрешение за SAP HANA.
• Метод за администриране на потребителя на SAP HANA.
• Метод на администриране на ролята на SAP HANA
• Процес на управление на лиценза на SAP HANA.
• Процес на одит на ролята на SAP HANA.