Keselamatan SAP HANA: Tutorial Lengkap

Isi kandungan:

Anonim
Apa itu Keselamatan Sap Hana?

SAP HANA Security melindungi data penting dari akses yang tidak dibenarkan dan memastikan bahawa piawaian dan pematuhan memenuhi standard keselamatan yang diterima pakai oleh syarikat.

SAP HANA menyediakan kemudahan iaitu pangkalan data Multitenant, di mana pelbagai pangkalan data dapat dibuat pada Sistem SAP HANA tunggal. Ia dikenali sebagai wadah pangkalan data multitenant. Oleh itu, SAP HANA menyediakan semua ciri berkaitan keselamatan untuk semua bekas pangkalan data multitenan.

SAP HANA Sediakan ciri berkaitan keselamatan berikut -

  • Pengurusan Pengguna dan Peranan
  • Kebenaran
  • Pengesahan
  • Penyulitan data dalam Persistence Layer
  • Penyulitan data dalam Lapisan Rangkaian

Pengguna dan Peranan SAP HANA

Konfigurasi pengurusan Pengguna dan Peranan SAP HANA bergantung pada seni bina seperti di bawah -

  1. Senibina 3 Tingkat.

    SAP HANA boleh digunakan sebagai pangkalan data relasional dalam 3-Tier Architecture.

    Dalam seni bina ini, ciri keselamatan (pengesahan, pengesahan, enkripsi, dan pengauditan) dipasang pada lapisan pelayan aplikasi.

    Aplikasi SAP (ERP, BW, dll.) Menghubungkan ke pangkalan data hanya dengan bantuan pengguna teknikal atau pentadbir pangkalan data (Basis Person). Pengguna akhir tidak dapat mengakses secara langsung ke pangkalan data atau pelayan pangkalan data.

  1. Senibina 2 Tingkat.

    Perkhidmatan Aplikasi Lanjutan SAP HANA (SAP HANA XS) didasarkan pada Senibina 2 Tingkat, di mana pelayan Aplikasi, Pelayan Web dan Persekitaran Pembangunan disematkan dalam satu sistem.

Pengesahan SAP HANA

Pengguna pangkalan data mengenal pasti siapa yang mengakses Pangkalan Data SAP HANA. Ia disahkan melalui proses yang Dinamakan "Pengesahan." SAP HANA menyokong banyak kaedah pengesahan. Single Sign-on (SSO) digunakan untuk mengintegrasikan beberapa kaedah Pengesahan.

SAP HANA menyokong kaedah pengesahan berikut -

  • Kerberos: Ia boleh digunakan dalam kes berikut -
    • Secara langsung dari JDBC dan ODBC Client (SAP HANA Studio).
    • Apabila HTTP digunakan untuk mengakses SAP HANA XS.
  • Kata laluan nama pengguna

    Apabila pengguna memasukkan nama pengguna dan kata laluan pangkalan data mereka, maka Pangkalan Data SAP HANA mengesahkan pengguna.

  • Bahasa Penanda Tegasan Keselamatan (SAML)

    SAML boleh digunakan untuk mengesahkan Pengguna SAP HANA, yang mengakses Pangkalan Data SAP HANA secara langsung melalui ODBC / JDBC. Ini adalah proses pemetaan identiti pengguna luaran ke pengguna pangkalan data dalaman, sehingga pengguna dapat masuk dalam pangkalan data sap dengan id pengguna luaran.

  • Tiket Log Masuk dan Tegasan SAP

    Pengguna dapat disahkan oleh Logon atau Assertion Tickets, yang dikonfigurasi dan dikeluarkan kepada pengguna untuk membuat tiket.

  • X.509 Sijil Pelanggan

    Apabila SAP HANA XS Access oleh HTTP, sijil klien yang ditandatangani oleh pihak berkuasa Persijilan yang dipercayai (CA) dapat digunakan untuk mengesahkan pengguna.

Kebenaran SAP HANA

Kebenaran SAP HANA diperlukan apabila pengguna menggunakan antara muka klien (JDBC, ODBC, atau HTTP) untuk mengakses pangkalan data SAP HANA.

Bergantung pada kebenaran yang diberikan kepada pengguna, ia dapat melakukan operasi pangkalan data pada objek pangkalan data. Kebenaran ini disebut, "hak istimewa."

Hak Istimewa boleh diberikan kepada pengguna secara langsung atau tidak langsung (melalui peranan). Semua Keistimewaan yang diberikan kepada pengguna digabungkan sebagai satu unit.

Apabila pengguna cuba mengakses sebarang objek Pangkalan Data SAP HANA, Sistem HANA melakukan pemeriksaan keizinan kepada pengguna melalui peranan pengguna dan secara langsung memberikan hak tersebut.

Apabila diminta keistimewaan yang dijumpai, sistem HANA melangkau pemeriksaan lebih lanjut dan memberi akses untuk meminta objek pangkalan data.

Dalam SAP HANA keistimewaan berikut adalah -

Jenis Keistimewaan Penerangan
Keistimewaan Sistem Ia mengawal aktiviti sistem yang normal. Keistimewaan Sistem digunakan terutamanya untuk -
  • Membuat dan Menghapus Skema dalam Pangkalan Data SAP HANA
  • Menguruskan pengguna dan peranan dalam Pangkalan Data SAP HANA
  • Pemantauan dan pengesanan pangkalan data SAP HANA
  • Melakukan sandaran data
  • Menguruskan lesen
  • Menguruskan versi
  • Menguruskan Audit
  • Mengimport dan Mengeksport kandungan
  • Menyelenggara Unit Penghantaran
Keistimewaan Objek Objek Privileges adalah hak istimewa SQL yang digunakan untuk memberikan keizinan untuk membaca dan mengubah objek pangkalan data. Untuk mengakses objek pangkalan data pengguna memerlukan hak istimewa objek pada objek pangkalan data atau pada skema di mana objek pangkalan data ada. Keistimewaan objek dapat diberikan kepada objek katalog (meja, pandangan, dll.) Atau objek bukan katalog (objek pengembangan). Keistimewaan Objek adalah seperti di bawah -
  • BUAT APA-APA
  • UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE
  • INDEX, TRIGGER, DEBUG, RUJUKAN
Keistimewaan Analitik Keistimewaan Analitik digunakan untuk membenarkan akses membaca pada data model Maklumat SAP HANA (paparan atribut, Pandangan analitik, Paparan pengiraan).
  • Keistimewaan ini dinilai semasa pemprosesan pertanyaan.
  • Keistimewaan Analitik memberikan akses pengguna yang berbeza pada bahagian data yang berlainan di
  • Paparan maklumat yang sama berdasarkan peranan pengguna.
  • Keistimewaan Analitik digunakan dalam pangkalan data SAP HANA untuk menyediakan data tahap baris
Kawalan bagi setiap pengguna untuk melihat data berada dalam pandangan yang sama.
Keistimewaan Pakej Keistimewaan Pakej digunakan untuk memberikan keizinan untuk tindakan pada pakej individu di SAP HANA Repository.
Keistimewaan Permohonan Keistimewaan Aplikasi diperlukan di Dalam SAP HANA Extended Application Services (SAP HANA XS) untuk aplikasi akses. Keistimewaan permohonan diberikan dan dicabut melalui prosedurGRANT_APPLICATION_PRIVILEGE dan prosedur REVOKE_APPLICATION_PRIVILEGE dalam skema _SYS_REPO.
Keistimewaan pada Pengguna Ini adalah Keistimewaan SQL, yang dapat diberikan oleh pengguna pada pengguna sendiri. ATTACH DEBUGGER adalah satu-satunya hak istimewa yang dapat diberikan kepada pengguna.

Pentadbiran Pengguna dan Pengurusan Peranan SAP HANA

Untuk Mengakses Pangkalan Data SAP HANA, pengguna diperlukan. Bergantung pada polisi keselamatan yang berbeza, terdapat dua jenis pengguna di SAP HANA seperti di bawah -

  1. Pengguna Teknikal (Pengguna DBA) - Ini adalah pengguna yang secara langsung bekerja dengan pangkalan data SAP HANA dengan hak istimewa yang diperlukan. Biasanya, pengguna ini tidak dihapus dari pangkalan data.

    Pengguna ini diciptakan untuk tugas pentadbiran seperti membuat objek dan memberikan hak istimewa pada objek pangkalan data atau aplikasi.

    Sistem Pangkalan Data SAP HANA menyediakan pengguna berikut secara lalai sebagai pengguna standard-

  • SISTEM
  • SYS
  • _SYS_REPO
  1. Pangkalan Data atau Pengguna Sebenar: Setiap pengguna yang ingin menggunakan pangkalan data SAP HANA, memerlukan pengguna pangkalan data. Pengguna pangkalan data adalah orang sebenar yang bekerja di SAP HANA.

    Terdapat dua jenis pengguna Pangkalan Data seperti di bawah -

Jenis pengguna Penerangan Peranan yang diberikan
Pengguna Standard Pengguna ini dapat membuat objek dalam skema sendiri dan membaca data dalam pandangan sistem. Pengguna Standard dibuat dengan pernyataan "CREATE USER" Peranan AWAM diberikan untuk paparan sistem baca.
Pengguna Terhad Pengguna Terhad tidak mempunyai Akses SQL penuh melalui Konsol SQL dan dibuat dengan pernyataan "BUAT PENGGUNA TERHAD". Sekiranya Keistimewaan diperlukan untuk penggunaan aplikasi apa pun, maka ia diberikan melalui peranan.
  • Pengguna Terhad tidak dapat membuat objek pangkalan data.
  • Pengguna Terhad tidak dapat melihat data dalam pangkalan data.
  • Pengguna Terhad menyambung ke pangkalan data melalui HTTP Sahaja.
  • Akses ODBC / JDBC untuk sambungan pelanggan mesti diaktifkan dengan pernyataan SQL.
 RESTRICTED_USER_ODBC_ACCESS atau RESTRICTED_USER_JDBC_ACCESS peranan diperlukan untuk pengguna untuk Akses Penuh fungsi ODBC / JDBC

Pentadbir Pengguna SAP HANA mempunyai akses ke aktiviti berikut -

  1. Buat / hapus Pengguna.
  2. Tentukan dan Buat Peranan.
  3. Beri Peranan kepada pengguna.
  4. Menetapkan semula kata laluan pengguna.
  5. Aktifkan semula / nyahaktifkan pengguna mengikut keperluan.
  1. Buat Pengguna di SAP HANA- pengguna pangkalan data sahaja dengan hak istimewa ROLE ADMIN dapat membuat pengguna dan berperanan dalam SAP HANA.

    Langkah 1) Untuk membuat pengguna baru di SAP HANA Studio, pergi ke tab keselamatan seperti yang ditunjukkan di bawah dan ikuti langkah berikut;

    1. Pergi ke nod keselamatan.
    2. Pilih Pengguna (Klik Kanan) -> Pengguna Baru.

    Langkah 2) Skrin penciptaan pengguna muncul.

    1. Masukkan Nama Pengguna.
    2. Masukkan Kata Laluan untuk pengguna.
    3. Ini adalah mekanisme pengesahan, secara lalai Nama pengguna / kata laluan digunakan untuk pengesahan.

Dengan Mengklik pada butang deploy pengguna akan dibuat.

2. Tentukan dan Buat Peranan

Peranan adalah kumpulan hak istimewa yang dapat diberikan kepada pengguna atau peranan lain. Peranan tersebut merangkumi hak istimewa untuk objek & aplikasi pangkalan data dan bergantung pada sifat pekerjaan.

Ini adalah mekanisme standard untuk memberikan hak istimewa. Hak istimewa dapat diberikan secara langsung kepada pengguna. Terdapat banyak peranan standard (contohnya PEMODELAN, PEMANTAUAN, dll) yang terdapat dalam pangkalan data SAP HANA.

Kita boleh menggunakan peranan standard sebagai templat untuk membuat peranan khusus.

Peranan boleh mengandungi hak istimewa berikut -

  • Keistimewaan Sistem untuk tugas pentadbiran dan pembangunan (KATALOG BACA, AUDIT ADMIN, dll.)
  • Keistimewaan Objek untuk objek pangkalan data (PILIH, MASUK, HAPUS, dll.)
  • Keistimewaan Analitik untuk Paparan Maklumat SAP HANA
  • Keistimewaan Pakej pada pakej repositori (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, dll.)
  • Keistimewaan Aplikasi untuk aplikasi SAP HANA XS.
  • Keistimewaan pada pengguna (Untuk prosedur penyahpepijatan).

Penciptaan Peranan

Langkah 1) Dalam langkah ini,

  1. Pergi ke nod Keselamatan dalam Sistem SAP HANA.
  2. Pilih Node Peranan (Klik Kanan) dan pilih Peranan Baru.

Langkah 2) Skrin pembuatan peranan dipaparkan.

  1. Beri nama Peranan di bawah Blok Peranan Baru.
  2. Pilih tab Peran Yang Diberikan, dan klik Ikon "+" untuk menambah Peranan Standard atau keluar peranan.
  3. Pilih Peranan yang diinginkan (contohnya PEMODELAN, PEMANTAUAN, dll.)

LANGKAH 3) Dalam langkah ini,

  1. Peranan Terpilih ditambahkan dalam Tab Peran Diberikan.
  2. Hak istimewa boleh diberikan kepada pengguna secara langsung dengan memilih Sistem Hak Istimewa, Hak Keistimewaan, Hak Istimewa Analitik, Keistimewaan Pakej, dll.
  3. Klik pada ikon deploy untuk membuat Peranan.

Tandakan pilihan "Diberikan kepada pengguna dan peranan lain", jika anda ingin memberikan peranan ini kepada pengguna dan peranan lain.

3. Beri Peranan kepada Pengguna

LANGKAH 1) Pada langkah ini, kita akan Menugaskan Peranan "MODELLING_VIEW" kepada pengguna lain "ABHI_TEST".

  1. Pergi ke Sub-node pengguna di bawah Nod keselamatan dan klik dua kali. Tetingkap pengguna akan ditunjukkan.
  2. Klik pada Ikon pemberian "+".
  3. Muncul pop timbul, nama Peranan Carian yang akan diberikan kepada pengguna.

LANGKAH 2) Pada langkah ini, peranan "MODELLING_VIEW" akan ditambahkan di bawah Peranan.

LANGKAH 3) Dalam langkah ini,

  1. Klik pada Deploy Button.
  2. Mesej "Pengguna 'ABHI_TEST" diubah dipaparkan.

4. Menetapkan Semula Kata Laluan Pengguna

Sekiranya kata laluan pengguna perlu diset semula, kemudian pergi ke Sub-node pengguna di bawah Node keselamatan dan klik dua kali. Tetingkap pengguna akan ditunjukkan.

LANGKAH 1) Dalam langkah ini,

  1. Masukkan kata laluan baru.
  2. Masukkan Sahkan kata laluan.

LANGKAH 2) Dalam langkah ini,

  1. Klik pada Deploy Button.
  2. Mesej "Pengguna 'ABHI_TEST" diubah dipaparkan.

5. Aktifkan Semula / Nyahaktifkan Pengguna

Pergi ke Sub-node pengguna di bawah Nod keselamatan dan klik dua kali. Tetingkap pengguna akan ditunjukkan.

Terdapat ikon De-Activate Pengguna. Klik padanya

Mesej pengesahan "Popup" akan muncul. Klik pada Butang 'Ya'.

Mesej "Pengguna 'ABHI_TEST' dinyahaktifkan" akan dipaparkan. Ikon De-Activate berubah dengan nama "Aktifkan pengguna". Sekarang kita dapat mengaktifkan pengguna dari ikon yang sama.

Pengurusan Lesen SAP HANA

Kunci lesen diperlukan untuk menggunakan Pangkalan Data SAP HANA. Kunci lesen boleh dipasang dan dihapus menggunakan SAP HANA Studio, alat Garis Perintah SAP HANA HDBSQL, dan editor HANA SQL Query.

Pangkalan data SAP HANA menyokong dua jenis kunci lesen -

  • Kekunci Lesen Kekal: Kekunci lesen kekal sah sehingga tarikh luput. Kami perlu meminta dan menggunakan kunci lesen sebelum tamat. Sekiranya kunci lesen tamat maka Kunci Lesen Sementara dipasang secara automatik selama 28 hari.
  • Kunci Lesen Sementara: Ini dipasang secara automatik dengan Pemasangan Pangkalan Data SAP HANA yang baru. Ia sah selama 90 hari dan kemudian boleh memohon kunci Kekal dari SAP.

Kebenaran Pengurusan Lesen

Hak istimewa "LICENSE ADMIN" diperlukan untuk Pengurusan Lesen.

Pengauditan SAP HANA

Ciri Pengauditan SAP HANA membolehkan anda memantau dan merakam tindakan yang dilakukan dalam Sistem SAP HANA. Ciri ini harus diaktifkan untuk sistem sebelum membuat kebijakan audit.

Kebenaran untuk Pengauditan SAP HANA

Keistimewaan Sistem "AUDIT ADMIN" diperlukan untuk Pengauditan SAP HANA.

Ringkasan :

Dalam tutorial ini, kami telah mempelajari topik berikut -

  • Gambaran keseluruhan Keselamatan SAP HANA.
  • Pengesahan SAP HANA secara terperinci.
  • Kebenaran SAP HANA secara terperinci.
  • Kaedah Pentadbiran Pengguna SAP HANA.
  • Kaedah Pentadbiran Peranan SAP HANA
  • Proses pengurusan lesen SAP HANA.
  • Proses Pengauditan Peranan SAP HANA.