Sigurnost SAP HANA: Kompletna lekcija

Sadržaj:

Anonim
Što je Sap Hana Security?

SAP HANA Security štiti važne podatke od neovlaštenog pristupa i osigurava da standardi i usklađenost ispunjavaju sigurnosni standard koji je usvojila tvrtka.

SAP HANA nudi mogućnost, tj. Multitenant bazu podataka, u kojoj se može stvoriti više baza podataka na jednom SAP HANA sustavu. Poznat je kao višenamjenski spremnik baze podataka. Dakle, SAP HANA pruža sve sigurnosne značajke za sve multitenantske spremnike baze podataka.

SAP HANA Pruža sljedeće značajke povezane sa sigurnošću -

  • Upravljanje korisnicima i ulogama
  • Odobrenje
  • Ovjera
  • Šifriranje podataka u sloju postojanosti
  • Šifriranje podataka u mrežnom sloju

Korisnik i uloga SAP HANA-e

Konfiguracija upravljanja korisnikom i ulogama SAP HANA ovisi o arhitekturi kao u nastavku -

  1. Troslojna arhitektura.

    SAP HANA može se koristiti kao relacijska baza podataka u troslojnoj arhitekturi.

    U ovoj su arhitekturi sigurnosne značajke (autorizacija, provjera autentičnosti, šifriranje i revizija) instalirane na slojevima aplikacijskog poslužitelja.

    SAP aplikacija (ERP, BW, itd.) Povezuje se s bazom podataka samo uz pomoć tehničkog korisnika ili administratora baze podataka (Basis Person). Krajnji korisnik ne može izravno pristupiti bazi podataka ili poslužitelju baze podataka.

  1. 2-slojna arhitektura.

    Proširene aplikacijske usluge SAP HANA (SAP HANA XS) temelje se na 2-Tier arhitekturi, u kojoj su aplikacijski poslužitelj, web poslužitelj i razvojno okruženje ugrađeni u jedan sustav.

Provjera autentičnosti SAP HANA

Korisnik baze podataka identificira tko pristupa SAP HANA bazi podataka. Potvrđuje se postupkom nazvanim "Autentifikacija". SAP HANA podržava mnoge metode provjere autentičnosti. Jednokratna prijava (SSO) koristi se za integriranje nekoliko metoda provjere autentičnosti.

SAP HANA podržava sljedeći način provjere autentičnosti -

  • Kerberos: Može se koristiti u sljedećem slučaju -
    • Izravno od JDBC i ODBC klijenta (SAP HANA Studio).
    • Kada se HTTP koristi za pristup SAP HANA XS.
  • Korisničko ime Zaporka

    Kada korisnik unese korisničko ime i lozinku svoje baze podataka, tada baza podataka SAP HANA provjerava identitet korisnika.

  • Označni jezik sigurnosne tvrdnje (SAML)

    SAML se može koristiti za provjeru autentičnosti korisnika SAP HANA koji pristupa SAP HANA bazi podataka izravno putem ODBC / JDBC. To je postupak mapiranja identiteta vanjskog korisnika s internim korisnikom baze podataka, tako da se korisnik može prijaviti u sap bazu podataka s vanjskim korisničkim ID-om.

  • Ulaznice za SAP prijavu i tvrdnju

    Korisnik može biti autentificiran pomoću ulaznica za prijavu ili potvrdu, koje se konfiguriraju i izdaju korisniku za stvaranje ulaznice.

  • X.509 Potvrde klijenata

    Kada SAP HANA XS pristupa putem HTTP-a, klijentski certifikati potpisani od strane pouzdanog tijela za ovjeru (CA) mogu se koristiti za autentifikaciju korisnika.

Odobrenje za SAP HANA

Odobrenje za SAP HANA potrebno je kada korisnik koji koristi klijentsko sučelje (JDBC, ODBC ili HTTP) pristupa SAP HANA bazi podataka.

Ovisno o autorizaciji koja se daje korisniku, on može izvoditi operacije baze podataka na objektu baze podataka. Ova se autorizacija naziva "privilegijama".

Privilegije se mogu dodijeliti korisniku izravno ili neizravno (kroz uloge). Sve povlastice dodijeljene korisnicima kombinirane su kao jedna cjelina.

Kada korisnik pokuša pristupiti bilo kojem objektu baze podataka SAP HANA, HANA sustav vrši provjeru autorizacije na korisniku putem korisničkih uloga i izravno dodjeljuje privilegije.

Kada se pronađu tražene povlastice, sustav HANA preskače daljnje provjere i odobrava pristup zahtjevima za objektima baze podataka.

U SAP HANA-i sljedeće povlastice su njihove -

Vrste privilegija Opis
Privilegije sustava Kontrolira normalnu aktivnost sustava. Privilegije sustava uglavnom se koriste za -
  • Stvaranje i brisanje sheme u SAP HANA bazi podataka
  • Upravljanje korisnikom i ulogom u SAP HANA bazi podataka
  • Nadgledanje i traženje baze podataka SAP HANA
  • Izrada sigurnosnih kopija podataka
  • Licenca za upravljanje
  • Upravljačka verzija
  • Upravljanje revizijom
  • Uvoz i izvoz sadržaja
  • Održavanje dostavnih jedinica
Privilegije objekta Privilegije objekata su SQL povlastice koje se koriste za davanje ovlaštenja za čitanje i izmjenu objekata baze podataka. Za pristup objektima baze podataka korisnik treba privilegije objekata na objektima baze podataka ili na shemi u kojoj objekt baze podataka postoji. Privilegije objekata mogu se dodijeliti kataloškim objektima (tablica, pogled itd.) Ili nekatološkim objektima (razvojni objekti). Privilegije objekata su kao u nastavku -
  • STVARI BILO KOJE
  • UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXEECE
  • INDEKS, TRIGGER, DEBUG, LITERATURA
Analitičke povlastice Analitičke povlastice koriste se za omogućavanje pristupa čitanja podataka SAP HANA Informacijskog modela (prikaz atributa, Analitički prikaz, Prikaz izračuna).
  • Ova se privilegija procjenjuje tijekom obrade upita.
  • Analytic Privileges odobrava različit pristup korisnicima različitim dijelovima podataka u
  • Isti prikaz podataka zasnovan na ulozi korisnika.
  • Analitičke povlastice koriste se u bazi podataka SAP HANA za pružanje podataka na razini retka
Kontrola za prikaz pojedinačnih korisnika u istom je prikazu.
Privilegije paketa Privilegije paketa koriste se za pružanje autorizacije za radnje na pojedinačnim paketima u SAP HANA Repozitoriju.
Privilegije aplikacije Povlastice aplikacije potrebne su u Proširenim aplikacijskim uslugama SAP HANA (SAP HANA XS) za pristup aplikaciji. Privilegije aplikacije dodjeljuju se i opozivaju postupcima GRANT_APPLICATION_PRIVILEGE i REVOKE_APPLICATION_PRIVILEGE u shemi _SYS_REPO.
Privilegije na korisnika Riječ je o SQL privilegijama koje korisnik može dodijeliti vlastitom korisniku. ATTACH DEBUGGER jedina je privilegija koja se može dodijeliti korisniku.

Administracija korisnika i upravljanje ulogama SAP HANA

Za pristup bazi podataka SAP HANA potrebni su korisnici. Ovisno o različitim sigurnosnim politikama, postoje dvije vrste korisnika u SAP HANA kao dolje -

  1. Tehnički korisnik (DBA korisnik) - To je korisnik koji izravno radi sa bazom podataka SAP HANA s potrebnim privilegijama. Ti se korisnici obično ne brišu iz baze podataka.

    Ti su korisnici stvoreni za administrativni zadatak kao što je stvaranje objekta i dodjeljivanje privilegija za objekt baze podataka ili za aplikaciju.

    Sustav baza podataka SAP HANA prema zadanim postavkama pruža sljedećeg korisnika kao standardnog korisnika

  • SUSTAV
  • SYS
  • _SYS_REPO
  1. Baza podataka ili stvarni korisnik: Svaki korisnik koji želi raditi na SAP HANA bazi podataka, treba korisnika baze podataka. Korisnik baze podataka stvarna je osoba koja radi na SAP HANA.

    Dvije su vrste korisnika baze podataka kao što je prikazano u nastavku -

Tip korisnika Opis Uloga dodijeljena
Standardni korisnik Ovaj korisnik može stvarati objekte u vlastitoj shemi i čita podatke u sistemskim prikazima. Standardni korisnik izrađen s izjavom "CREATE USER". Javna je uloga dodijeljena za pročitane sistemske preglede.
Ograničeni korisnik Ograničeni korisnik nema potpuni SQL pristup putem SQL konzole i stvoren je izrazom "CREATE RISTRICTED USER". Ako su povlastice potrebne za upotrebu bilo kojeg programa, one se pružaju kroz ulogu.
  • Ograničeni korisnik ne može stvoriti objekte baze podataka.
  • Ograničeni korisnik ne može pregledavati podatke u bazi podataka.
  • Ograničeni korisnik povezuje se s bazom podataka samo putem HTTP-a.
  • ODBC / JDBC pristup za klijentsku vezu mora biti omogućen s SQL izrazom.
 RESTRICTED_USER_ODBC_ACCESS ili RESTRICTED_USER_JDBC_ACCESS uloga potrebna korisniku za puni pristup ODBC / JDBC funkcionalnosti

Korisnički administrator SAP HANA ima pristup sljedećim aktivnostima -

  1. Stvori / izbriši korisnika.
  2. Definirajte i stvorite ulogu.
  3. Dodijelite ulogu korisniku.
  4. Resetiranje korisničke lozinke.
  5. Ponovno aktiviranje / deaktiviranje korisnika prema zahtjevu.
  1. Stvori korisnika u SAP HANA- samo korisnik baze podataka s privilegijama ROLE ADMIN može stvoriti korisnika i ulogu u SAP HANA.

    Korak 1) Da biste stvorili novog korisnika u SAP HANA Studio, idite na karticu sigurnost kao što je prikazano u nastavku i slijedite sljedeće korake;

    1. Idite na sigurnosni čvor.
    2. Odaberite Korisnici (desni klik) -> Novi korisnik.

    Korak 2) Pojavljuje se zaslon za stvaranje korisnika.

    1. Unesite korisničko ime.
    2. Unesite lozinku za korisnika.
    3. To su mehanizmi provjere autentičnosti, za autentifikaciju se prema zadanim postavkama koristi korisničko ime / lozinka.

Klikom na gumb za postavljanje stvorit će se korisnik.

2. Definirajte i stvorite ulogu

Uloga je zbirka privilegija koje se mogu dodijeliti drugim korisnicima ili ulozi. Uloga uključuje povlastice za objekt i aplikaciju baze podataka, ovisno o prirodi posla.

To je standardni mehanizam za dodjelu privilegija. Privilegije se mogu izravno dodijeliti korisniku. Mnogo je standardnih uloga (npr. MODELIRANJE, MONITORING, itd.) Dostupnih u bazi podataka SAP HANA.

Standardnu ​​ulogu možemo koristiti kao predložak za stvaranje prilagođene uloge.

Uloga može sadržavati sljedeće povlastice -

  • Privilegije sustava za administrativne i razvojne zadatke (PROČITAJ KATALOG, REVIZIJSKI ADMINISTOR, itd.)
  • Privilegije objekata za objekte baze podataka (SELECT, INSERT, DELETE, itd.)
  • Analitičke povlastice za informativni prikaz SAP HANA
  • Privilegije paketa na repozitorijskim paketima (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, itd.)
  • Privilegije aplikacija za SAP HANA XS aplikacije.
  • Privilegije korisnika (za otklanjanje pogrešaka u proceduri).

Stvaranje uloga

Korak 1) U ovom koraku,

  1. Idite na Sigurnosni čvor u sustavu SAP HANA.
  2. Odaberite Čvor uloge (desni klik) i odaberite Nova uloga.

Korak 2) Prikazuje se zaslon za stvaranje uloga.

  1. Dajte ime ulozi pod Blok nove uloge.
  2. Odaberite karticu Odobrena uloga i kliknite ikonu "+" da biste dodali standardnu ​​ulogu ili izlaznu ulogu.
  3. Odaberite željenu ulogu (npr. MODELIRANJE, MONITORING, itd.)

KORAK 3) U ovom koraku,

  1. Odabrana uloga dodana je na kartici Odobrene uloge.
  2. Privilegije se mogu dodijeliti korisniku izravno odabirom sistemskih privilegija, privilegija objekta, analitičkih privilegija, privilegija paketa itd.
  3. Kliknite ikonu za postavljanje da biste stvorili ulogu.

Označite opciju "Dodijeljeno drugim korisnicima i ulogama", ako želite dodijeliti ovu ulogu drugom korisniku i ulozi.

3. Dodijelite ulogu korisniku

KORAK 1) U ovom ćemo koraku dodijeliti ulogu "MODELLING_VIEW" drugom korisniku "ABHI_TEST".

  1. Idite na Korisnički pod čvor pod Sigurnosni čvor i dvaput ga kliknite. Prikazati će se korisnički prozor.
  2. Kliknite ikonu Odobrene uloge "+".
  3. Pojavit će se skočni prozor, naziv uloge pretraživanja koji će se dodijeliti korisniku.

KORAK 2) U ovom koraku, uloga "MODELLING_VIEW" bit će dodana pod Uloga.

KORAK 3) U ovom koraku,

  1. Kliknite gumb za postavljanje.
  2. Prikazuje se poruka "Korisnik 'ABHI_TEST" promijenjen.

4. Resetiranje korisničke lozinke

Ako je korisnička lozinka potrebna za resetiranje, idite na Korisnički podčvor pod Sigurnosni čvor i dvaput je kliknite. Prikazati će se korisnički prozor.

KORAK 1) U ovom koraku,

  1. Unesite novu lozinku.
  2. Unesite Potvrdite lozinku.

KORAK 2) U ovom koraku,

  1. Kliknite gumb za postavljanje.
  2. Prikazuje se poruka "Korisnik 'ABHI_TEST" promijenjen.

5. Ponovno aktiviranje / deaktiviranje korisnika

Idite na Korisnički pod čvor pod Sigurnosni čvor i dvaput ga kliknite. Prikazati će se korisnički prozor.

Postoji ikona Deaktivacija korisnika. Kliknite na njega

Pojavit će se poruka potvrde "Skočni prozor". Kliknite gumb "Da".

Prikazat će se poruka "Korisnik 'ABHI_TEST' deaktiviran". Ikona Deaktivacija mijenja se s nazivom "Aktiviraj korisnika". Sada možemo aktivirati korisnika pomoću iste ikone.

SAP HANA upravljanje licencama

Licencni ključ potreban je za upotrebu SAP HANA baze podataka. Licencni ključ može se instalirati i izbrisati pomoću SAP HANA Studio, alata za naredbene retke SAP HANA HDBSQL i uređivača upita HANA SQL.

SAP HANA baza podataka podržava dvije vrste licencnog ključa -

  • Trajni ključ licence: Trajni ključevi licence vrijede do datuma isteka. Moramo zatražiti i primijeniti licencni ključ prije isteka. Ako licencni ključ istekne, Privremeni licenčni ključ automatski se instalira na 28 dana.
  • Privremeni ključ licence: Ovo se automatski instalira s novom instalacijom baze podataka SAP HANA. Vrijedi 90 dana, a kasnije se može prijaviti za trajni ključ od SAP-a.

Odobrenje upravljanja licencama

Za upravljanje licencama potrebne su privilegije "LICENSE ADMIN" .

SAP HANA Revizija

Značajke revizije SAP HANA omogućuju vam praćenje i bilježenje radnji koje se izvode u sustavu SAP HANA. Ove značajke treba aktivirati za sustav prije stvaranja politike revizije.

Ovlaštenje za reviziju SAP HANA

Privilegije sustava "AUDIT ADMINER" potrebne za reviziju SAP HANA.

Sažetak :

U ovom uputstvu naučili smo sljedeću temu -

  • Pregled sigurnosti SAP HANA.
  • Pojedinosti o provjeri autentičnosti SAP HANA.
  • Detaljno odobrenje za SAP HANA.
  • Način administriranja korisnika SAP HANA.
  • Način administriranja uloga SAP HANA
  • Postupak upravljanja licencom za SAP HANA.
  • Postupak revizije uloga SAP HANA.