SAP HANA Security: Täydellinen opetusohjelma

Sisällysluettelo:

Anonim
Mikä on Sap Hana Security?

SAP HANA Security suojaa tärkeitä tietoja luvattomalta käytöltä ja varmistaa, että standardit ja vaatimustenmukaisuus täyttävät yrityksen hyväksymät turvallisuusstandardit.

SAP HANA tarjoaa monitoimitietokannan, johon voidaan luoda useita tietokantoja yhdelle SAP HANA -järjestelmälle. Se tunnetaan nimellä monivärinen tietokantasäiliö. Joten SAP HANA tarjoaa kaikki tietoturvaan liittyvät ominaisuudet kaikille monitieteisille tietokantakontteille.

SAP HANA Tarjoa seuraava suojaukseen liittyvä ominaisuus -

  • Käyttäjien ja roolien hallinta
  • Valtuutus
  • Todennus
  • Tietojen salaus pysyvyyskerroksessa
  • Tietojen salaus verkkokerroksessa

SAP HANA -käyttäjä ja -rooli

SAP HANA -käyttäjien ja -roolien hallinnan määritykset riippuvat seuraavasta arkkitehtuurista -

  1. 3-tasoinen arkkitehtuuri.

    SAP HANA: ta voidaan käyttää relaatiotietokantana 3-kerroksisessa arkkitehtuurissa.

    Tässä arkkitehtuurissa suojausominaisuudet (valtuutus, todennus, salaus ja tarkastus) asennetaan sovelluspalvelimen tasoille.

    SAP-sovellus (ERP, BW jne.) Muodostaa yhteyden tietokantaan vain teknisen käyttäjän tai tietokannan järjestelmänvalvojan (Basis Person) avulla. Loppukäyttäjä ei voi suoraan käyttää tietokantaa tai tietokantapalvelinta.

  1. Kaksitasoinen arkkitehtuuri.

    SAP HANA Extended Application Services (SAP HANA XS) perustuu 2-kerroksiseen arkkitehtuuriin, jossa sovelluspalvelin, Web-palvelin ja kehitysympäristö on upotettu yhteen järjestelmään.

SAP HANA -todennus

Tietokannan käyttäjä tunnistaa, kuka käyttää SAP HANA -tietokantaa. Se todennetaan prosessilla, jonka nimi on "Todennus". SAP HANA tukee monia todennustapoja. Kertakirjautumista (SSO) käytetään integroimaan useita todennusmenetelmiä.

SAP HANA tukee seuraavaa todennustapaa -

  • Kerberos: Sitä voidaan käyttää seuraavassa tapauksessa -
    • Suoraan JDBC- ja ODBC-asiakkailta (SAP HANA Studio).
    • Kun HTTP: tä käytetään SAP HANA XS: n käyttämiseen.
  • Käyttäjänimi Salasana

    Kun käyttäjä syöttää tietokannan käyttäjätunnuksen ja salasanan, SAP HANA -tietokanta todentaa käyttäjän.

  • Suojausvaatimuksen merkintäkieli (SAML)

    SAML: ää voidaan käyttää SAP HANA -käyttäjän todentamiseen, joka käyttää SAP HANA -tietokantaa suoraan ODBC / JDBC: n kautta. Se on prosessi ulkoisen käyttäjän identiteetin kartoittamiseksi sisäisen tietokannan käyttäjälle, joten käyttäjä voi kirjautua sisään sap-tietokantaan ulkoisella käyttäjätunnuksella.

  • SAP-kirjautumis- ja vakuutusliput

    Käyttäjä voidaan todentaa kirjautumis- tai vakuutuslippuilla, jotka on määritetty ja annettu käyttäjälle lipun luomista varten.

  • X.509-asiakasvarmenteet

    Kun SAP HANA XS Access by HTTP, luotettavan varmenteen myöntäjän allekirjoittamia asiakasvarmenteita voidaan käyttää käyttäjän todentamiseen.

SAP HANA -valtuutus

SAP HANA -valtuutus vaaditaan, kun käyttäjä käyttää asiakasrajapintaa (JDBC, ODBC tai HTTP) päästäksesi SAP HANA -tietokantaan.

Käyttäjälle myönnetystä valtuutuksesta riippuen se voi suorittaa tietokantaoperaatioita tietokantaobjektille. Tätä valtuutusta kutsutaan "oikeuksiksi".

Etuudet voidaan myöntää käyttäjälle suoraan tai epäsuorasti (roolien kautta). Kaikki käyttäjille määritetyt oikeudet yhdistetään yhtenä kokonaisuutena.

Kun käyttäjä yrittää käyttää mitä tahansa SAP HANA -tietokantaobjektia, HANA-järjestelmä suorittaa käyttäjän todennuksen käyttäjän roolien kautta ja myöntää käyttöoikeudet suoraan.

Kun pyydetään etuoikeuksia löydetty, HANA-järjestelmä ohittaa lisätarkistukset ja antaa pääsyn pyyntöjen tietokantaobjekteihin.

SAP HANA -palvelussa heillä on seuraavat oikeudet -

Etuoikeustyypit Kuvaus
Järjestelmän oikeudet Se ohjaa normaalia järjestelmän toimintaa. Järjestelmäoikeuksia käytetään pääasiassa -
  • Kaavion luominen ja poistaminen SAP HANA -tietokannasta
  • Käyttäjän ja roolin hallinta SAP HANA -tietokannassa
  • SAP HANA -tietokannan seuranta ja jäljitys
  • Tietojen varmuuskopiointi
  • Lisenssin hallinta
  • Hallinnointiversio
  • Tarkastuksen hallinta
  • Sisällön tuonti ja vienti
  • Toimitusyksiköiden ylläpito
Objektioikeudet Objektioikeudet ovat SQL-käyttöoikeuksia, joita käytetään valtuutuksen antamiseen tietokantaobjektien lukemiseen ja muokkaamiseen. Käyttääksesi tietokantaobjekteja käyttäjä tarvitsee objektioikeudet tietokantaobjekteihin tai malliin, jossa tietokantaobjekti on. Objektioikeudet voidaan myöntää luettelo-objekteille (taulukko, näkymä jne.) Tai luetteloon kuulumattomille kohteille (kehitysobjektit). Kohdeoikeudet ovat seuraavat:
  • LUO KAIKKI
  • PÄIVITÄ, INSERT, SELECT, DELETE, DROP, ALTER, SUORITA
  • HAKEMISTO, TRIGGER, VIRHEET, VIITTEET
Analyyttiset oikeudet Analyyttisiä oikeuksia käytetään SAP HANA -tietomallin (attribuuttinäkymä, analyyttinen näkymä, laskentanäkymä) tietojen lukuoikeuden sallimiseen.
  • Tämä etuoikeus arvioidaan kyselyn käsittelyn aikana.
  • Analyyttiset oikeudet antavat erilaisille käyttäjille pääsyn tietokannan eri osiin
  • Sama tietonäkymä käyttäjän rooliin perustuen.
  • Analyyttisiä oikeuksia käytetään SAP HANA -tietokannassa rivitason tietojen tuottamiseen
Yksittäisten käyttäjien hallinta tietojen näkymiseen on samassa näkymässä.
Pakettioikeudet Pakettioikeuksia käytetään valtuuttamaan yksittäisiä paketteja koskevat toiminnot SAP HANA -tietovarastossa.
Sovellusoikeudet Sovellusoikeudet vaaditaan In SAP HANA Extended Application Services (SAP HANA XS) -sovelluksessa. Sovelluksen käyttöoikeudet myönnetään ja peruutetaan menettelyjenGRANT_APPLICATION_PRIVILEGE ja REVOKE_APPLICATION_PRIVILEGE kautta _SYS_REPO-mallissa.
Käyttäjän oikeudet Se on SQL-käyttöoikeus, jonka käyttäjä voi myöntää omalle käyttäjälle. ATTACH Debugger on ainoa etuoikeus, joka voidaan myöntää käyttäjälle.

SAP HANA -käyttäjien hallinta ja roolien hallinta

Käyttäjiä vaaditaan SAP HANA -tietokantaan pääsemiseksi. Eri suojauskäytännöistä riippuen SAP HANAssa on kahden tyyppisiä käyttäjiä, kuten alla -

  1. Teknisen käyttöyhteyden (DBA Käyttäjä) - Se on käyttäjä, joka suoraan työn SAP HANA tietokannan tarvittavat oikeudet. Normaalisti näitä käyttäjiä ei poisteta tietokannasta.

    Nämä käyttäjät on luotu hallinnolliseen tehtävään, kuten objektin luomiseen ja käyttöoikeuksien myöntämiseen tietokantaobjektiin tai sovellukseen.

    SAP HANA -tietokantajärjestelmä tarjoaa oletusarvoisesti seuraavan käyttäjän

  • JÄRJESTELMÄ
  • SYS
  • _SYS_REPO
  1. Tietokanta tai todellinen käyttäjä: Jokainen käyttäjä, joka haluaa työskennellä SAP HANA -tietokannan parissa, tarvitsee tietokannan käyttäjän. Tietokannan käyttäjä on oikea henkilö, joka työskentelee SAP HANA: lla.

    Tietokannan käyttäjiä on kahta tyyppiä -

Käyttäjätyyppi Kuvaus Rooli määritetty
Tavallinen käyttäjä Tämä käyttäjä voi luoda objekteja omaan skeemaansa ja lukea tietoja järjestelmänäkymissä. Tavallinen käyttäjä luotu CREATE USER -käskyllä. JULKINEN rooli on määritetty luetuille järjestelmänäkymille.
Rajoitettu käyttäjä Rajoitetulla käyttäjällä ei ole täydellistä SQL-käyttöoikeutta SQL-konsolin kautta, ja se on luotu "CREATE RESTRICTED USER" -käskyllä. Jos minkä tahansa sovelluksen käyttöön vaaditaan käyttöoikeuksia, ne tarjotaan roolin kautta.
  • Rajoitettu käyttäjä ei voi luoda tietokantaobjekteja.
  • Rajoitettu käyttäjä ei voi tarkastella tietoja tietokannassa.
  • Rajoitettu käyttäjä muodostaa yhteyden tietokantaan vain HTTP: n kautta.
  • Asiakasyhteyden ODBC / JDBC-pääsy on sallittava SQL-käskyllä.
 Käyttäjä tarvitsee roolin RESTRICTED_USER_ODBC_ACCESS tai RESTRICTED_USER_JDBC_ACCESS ODBC / JDBC-toiminnon täydelliseen käyttöön

SAP HANA -käyttäjän pääkäyttäjällä on pääsy seuraavaan toimintoon -

  1. Luo / poista käyttäjä.
  2. Määritä ja luo rooli.
  3. Anna rooli käyttäjälle.
  4. Käyttäjän salasanan vaihtaminen.
  5. Aktivoi käyttäjä uudelleen / poista se käytöstä vaatimusten mukaisesti.
  1. Luo käyttäjä vain SAP HANA -käyttöjärjestelmässä - ROLE ADMIN -oikeuksilla varustettu käyttäjä voi luoda käyttäjän ja roolin SAP HANA: ssa.

    Vaihe 1) Luo uusi käyttäjä SAP HANA Studiossa siirtymällä suojausvälilehteen alla olevan kuvan mukaisesti ja noudattamalla seuraavia vaiheita;

    1. Siirry suojaussolmuun.
    2. Valitse Käyttäjät (napsauta hiiren kakkospainikkeella) -> Uusi käyttäjä.

    Vaihe 2) Näyttöön tulee käyttäjän luomisnäyttö.

    1. Syötä käyttäjätunnus.
    2. Anna käyttäjän salasana.
    3. Nämä ovat todennusmekanismeja, oletusarvoisesti käyttäjätunnusta / salasanaa käytetään todennukseen.

Napsauttamalla käyttöönottopainiketta käyttäjä luodaan.

2. Määritä ja luo rooli

Rooli on kokoelma oikeuksia, jotka voidaan myöntää muille käyttäjille tai roolille. Rooli sisältää käyttöoikeudet tietokantaobjektiin ja sovelluksiin sekä työn luonteesta riippuen.

Se on tavallinen mekanismi etuoikeuksien myöntämiseen. Etuudet voidaan myöntää suoraan käyttäjälle. SAP HANA -tietokannassa on monia vakiorooleja (esim. MALLINPITO, VALVONTA jne.).

Voimme käyttää vakioroolia mallina mukautetun roolin luomisessa.

Rooli voi sisältää seuraavat oikeudet -

  • Järjestelmän oikeudet hallinto- ja kehitystehtäviin (CATALOG READ, AUDIT ADMIN jne.)
  • Objektioikeudet tietokantaobjekteille (SELECT, INSERT, DELETE jne.)
  • Analyyttiset oikeudet SAP HANA -tietonäkymään
  • Arkistopakettien pakettioikeudet (REPO.READ, REPO.EDIT_NATIVE_OBJECTS jne.)
  • Sovellusoikeudet SAP HANA XS -sovelluksiin.
  • Käyttäjän oikeudet (menettelyjen virheenkorjaukseen).

Roolin luominen

Vaihe 1) Tässä vaiheessa

  1. Siirry SAP HANA -järjestelmän suojaussolmuun.
  2. Valitse Roolisolmu (napsauta hiiren kakkospainikkeella) ja valitse Uusi rooli.

Vaihe 2) Roolin luontinäyttö tulee näkyviin.

  1. Anna roolin nimi Uusi roolilohko -kohdassa.
  2. Valitse Myönnetty rooli -välilehti ja napsauta "+" -kuvaketta lisätäksesi vakioroolin tai poistumisroolin.
  3. Valitse haluttu rooli (esim. Mallinnus, monitorointi jne.)

VAIHE 3) Tässä vaiheessa

  1. Valittu rooli lisätään Myönnetyt roolit -välilehteen.
  2. Oikeudet voidaan määrittää käyttäjälle suoraan valitsemalla Järjestelmän oikeudet, Objektioikeudet, Analyyttiset oikeudet, Pakettioikeudet jne.
  3. Napsauta käyttöönottokuvaketta luodaksesi roolin.

Valitse vaihtoehto "Myönnettävissä muille käyttäjille ja rooleille", jos haluat määrittää tämän roolin toiselle käyttäjälle ja roolille.

3. Anna rooli käyttäjälle

VAIHE 1) Tässä vaiheessa määritämme roolin "MODELLING_VIEW" toiselle käyttäjälle "ABHI_TEST".

  1. Siirry Turvasolmu-kohtaan Käyttäjän alisolmu ja kaksoisnapsauta sitä. Käyttäjäikkuna tulee näkyviin.
  2. Napsauta Myönnetyt roolit -kuvaketta.
  3. Esiin tulee ponnahdusikkuna, jossa hakuroolin nimi määritetään käyttäjälle.

VAIHE 2) Tässä vaiheessa rooli MODELLING_VIEW lisätään Rooli-kohtaan.

VAIHE 3) Tässä vaiheessa

  1. Napsauta Ota käyttöön -painiketta.
  2. Näyttöön tulee viesti "Käyttäjän ABHI_TEST" muutettu.

4. Nollaa käyttäjän salasana

Jos käyttäjän salasana on vaihdettava, siirry Turvasolmu-kohtaan Käyttäjän alisolmu ja kaksoisnapsauta sitä. Käyttäjäikkuna tulee näkyviin.

VAIHE 1) Tässä vaiheessa

  1. Syötä uusi salasana.
  2. Anna Vahvista salasana.

VAIHE 2) Tässä vaiheessa

  1. Napsauta Ota käyttöön -painiketta.
  2. Näyttöön tulee viesti "Käyttäjän ABHI_TEST" muutettu.

5. Aktivoi käyttäjä uudelleen / poista aktivointi

Siirry Turvasolmu-kohtaan Käyttäjän alisolmu ja kaksoisnapsauta sitä. Käyttäjäikkuna tulee näkyviin.

Poista käyttäjän aktivointi -kuvake. Klikkaa sitä

Näkyviin tulee vahvistusviesti "Popup". Napsauta Kyllä-painiketta.

Näyttöön tulee viesti "Käyttäjä 'ABHI_TEST' deaktivoitu". Poista käytöstä -kuvake muuttuu nimellä "Aktivoi käyttäjä". Nyt voimme aktivoida käyttäjän samasta kuvakkeesta.

SAP HANA -lisenssien hallinta

Lisenssiavainta tarvitaan SAP HANA -tietokannan käyttämiseen. Lisenssiavain voidaan asentaa ja poistaa SAP HANA Studion, SAP HANA HDBSQL-komentorivityökalun ja HANA SQL Query -editorin avulla.

SAP HANA -tietokanta tukee kahden tyyppisiä käyttöoikeusavaimia -

  • Pysyvä lisenssiavain: Pysyvät lisenssiavaimet ovat voimassa viimeiseen päivään asti. Meidän on pyydettävä ja käytettävä lisenssiavain ennen vanhenemista. Jos lisenssiavain vanhenee, väliaikainen lisenssiavain asennetaan automaattisesti 28 päiväksi.
  • Väliaikainen lisenssiavain: Tämä asennetaan automaattisesti uuden SAP HANA -tietokannan asennuksen kanssa. Se on voimassa 90 päivää ja myöhemmin voi hakea pysyvää avainta SAP: lta.

Lisenssien hallinnan valtuuttaminen

"LICENSE ADMIN" -oikeudet vaaditaan lisenssien hallintaan.

SAP HANA -tarkastus

SAP HANA -auditointiominaisuuksien avulla voit seurata ja tallentaa toimintoja, jotka suoritetaan SAP HANA -järjestelmässä. Nämä ominaisuudet tulisi aktivoida järjestelmässä ennen tarkastuskäytännön luomista.

SAP HANA -auditoinnin valtuutus

"AUDIT ADMIN" -järjestelmän käyttöoikeudet vaaditaan SAP HANA -auditoinnille.

Yhteenveto :

Tässä opetusohjelmassa olemme oppineet seuraavan aiheen -

  • SAP HANA -turvallisuuden yleiskatsaus.
  • SAP HANA -todennus yksityiskohtaisesti.
  • SAP HANA -valtuutus yksityiskohtaisesti.
  • SAP HANA -käyttäjähallintamenetelmä.
  • SAP HANA -roolinhallintamenetelmä
  • SAP HANA -lisenssinhallintaprosessi.
  • SAP HANA -roolien tarkastusprosessi.