SAP HANA-beveiliging: volledige zelfstudie

Inhoudsopgave:

Anonim
Wat is Sap Hana-beveiliging?

SAP HANA Security beschermt belangrijke gegevens tegen ongeautoriseerde toegang en zorgt ervoor dat de standaarden en compliance voldoen aan de beveiligingsstandaard die door het bedrijf is aangenomen.

SAP HANA biedt een faciliteit, dwz een Multitenant-database, waarin meerdere databases kunnen worden gemaakt op één SAP HANA-systeem. Het staat bekend als multitenant-databasecontainer. SAP HANA biedt dus alle beveiligingsgerelateerde functies voor alle multitenant-databasecontainers.

SAP HANA Biedt de volgende beveiligingsgerelateerde functie -

  • Gebruikers- en rollenbeheer
  • Autorisatie
  • Authenticatie
  • Versleuteling van gegevens in persistentielaag
  • Versleuteling van gegevens in netwerklaag

SAP HANA-gebruiker en -rol

SAP HANA Gebruikers- en rolbeheerconfiguratie is afhankelijk van de architectuur zoals hieronder -

  1. 3-laagse architectuur.

    SAP HANA kan worden gebruikt als een relationele database in een 3-Tier Architectuur.

    In deze architectuur zijn beveiligingsfuncties (autorisatie, authenticatie, codering en controle) geïnstalleerd op applicatieserverlagen.

    SAP-applicatie (ERP, BW, etc.) maakt alleen verbinding met de database met behulp van een technische gebruiker of databasebeheerder (basispersoon). De eindgebruiker heeft geen directe toegang tot de database of databaseserver.

  1. 2-laagse architectuur.

    SAP HANA Extended Application Services (SAP HANA XS) is gebaseerd op 2-tier architectuur, waarin applicatieserver, webserver en ontwikkelomgeving zijn ingebed in één systeem.

SAP HANA-verificatie

De databasegebruiker identificeert wie toegang heeft tot de SAP HANA-database. Het wordt geverifieerd door middel van een proces genaamd "Authenticatie." SAP HANA ondersteunt veel authenticatiemethoden. Single Sign-on (SSO) wordt gebruikt om verschillende verificatiemethoden te integreren.

SAP HANA ondersteunt de volgende authenticatiemethode -

  • Kerberos: het kan worden gebruikt in het volgende geval -
    • Direct vanuit JDBC en ODBC Client (SAP HANA Studio).
    • Wanneer HTTP wordt gebruikt om toegang te krijgen tot SAP HANA XS.
  • Gebruikersnaam wachtwoord

    Wanneer de gebruiker de gebruikersnaam en het wachtwoord voor de database invoert, verifieert SAP HANA Database de gebruiker.

  • Security Assertion Markup Language (SAML)

    SAML kan worden gebruikt om de SAP HANA-gebruiker te authenticeren, die rechtstreeks toegang heeft tot de SAP HANA-database via ODBC / JDBC. Het is een proces waarbij de identiteit van een externe gebruiker wordt toegewezen aan de interne databasegebruiker, zodat de gebruiker in de sapdatabase kan inloggen met het externe gebruikers-ID.

  • SAP-aanmeldings- en bevestigingstickets

    De gebruiker kan worden geverifieerd door Logon of Assertion Tickets, die worden geconfigureerd en uitgegeven aan de gebruiker voor het maken van een ticket.

  • X.509 Clients-certificaten

    Bij SAP HANA XS-toegang via HTTP kunnen clientcertificaten die zijn ondertekend door een vertrouwde certificeringsinstantie (CA), worden gebruikt om de gebruiker te verifiëren.

SAP HANA-autorisatie

SAP HANA-autorisatie is vereist wanneer een gebruiker de clientinterface (JDBC, ODBC of HTTP) gebruikt om toegang te krijgen tot de SAP HANA-database.

Afhankelijk van de autorisatie die aan de gebruiker is verleend, kan het databasebewerkingen uitvoeren op het databaseobject. Deze autorisatie wordt "privileges" genoemd.

De privileges kunnen direct of indirect (via rollen) aan de gebruiker worden toegekend. Alle rechten die aan gebruikers zijn toegewezen, worden gecombineerd als een enkele eenheid.

Wanneer een gebruiker toegang probeert te krijgen tot een SAP HANA-databaseobject, voert het HANA-systeem een ​​autorisatiecontrole uit op de gebruiker via gebruikersrollen en verleent het rechtstreeks de rechten.

Wanneer aangevraagde rechten worden gevonden, slaat het HANA-systeem verdere controles over en verleent het toegang om databaseobjecten aan te vragen.

In SAP HANA zijn de volgende privileges hun -

Soorten privileges Omschrijving
Systeemrechten Het regelt de normale systeemactiviteit. Systeemprivileges worden voornamelijk gebruikt voor -
  • Schema maken en verwijderen in SAP HANA-database
  • Beheer van gebruiker en rol in SAP HANA Database
  • Monitoring en tracering van SAP HANA-database
  • Gegevensback-ups maken
  • Licentie beheren
  • Versie beheren
  • Audit beheren
  • Inhoud importeren en exporteren
  • Bezorgeenheden onderhouden
Objectrechten Objectprivileges zijn SQL-privileges die worden gebruikt om autorisatie te verlenen voor het lezen en wijzigen van databaseobjecten. Om toegang te krijgen tot databaseobjecten heeft de gebruiker objectprivileges nodig voor databaseobjecten of voor het schema waarin het databaseobject bestaat. Objectprivileges kunnen worden toegekend aan catalogusobjecten (tabel, weergave, enz.) Of niet-catalogusobjecten (ontwikkelingsobjecten). Objectbevoegdheden zijn als volgt -
  • MAAK ELK
  • UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE
  • INDEX, TRIGGER, DEBUG, REFERENTIES
Analytische rechten Analytische rechten worden gebruikt om leestoegang mogelijk te maken tot gegevens van het SAP HANA-informatiemodel (attribuutweergave, analytische weergave, berekeningsweergave).
  • Dit privilege wordt geëvalueerd tijdens het verwerken van query's.
  • Analytische rechten verlenen verschillende gebruikerstoegang tot verschillende delen van de gegevens in het
  • Dezelfde informatieweergave op basis van gebruikersrol.
  • Analytische rechten worden gebruikt in de SAP HANA-database om gegevens op rijniveau te leveren
Controle voor individuele gebruikers om de gegevens te zien, is in dezelfde weergave.
Pakketbevoegdheden Pakketrechten worden gebruikt om autorisatie te verlenen voor acties op individuele pakketten in SAP HANA Repository.
Toepassingsrechten Toepassingsrechten zijn vereist in In SAP HANA Extended Application Services (SAP HANA XS) voor toegang tot de toepassing. Toepassingsbevoegdheden worden verleend en ingetrokken via de procedures proceduresGRANT_APPLICATION_PRIVILEGE en REVOKE_APPLICATION_PRIVILEGE in het _SYS_REPO-schema.
Rechten voor de gebruiker Het zijn SQL-privileges die door de gebruiker aan de eigen gebruiker kunnen worden verleend. ATTACH DEBUGGER is het enige privilege dat aan een gebruiker kan worden toegekend.

SAP HANA gebruikersadministratie en rolbeheer

Om toegang te krijgen tot de SAP HANA-database zijn gebruikers vereist. Afhankelijk van het verschillende beveiligingsbeleid zijn er twee soorten gebruikers in SAP HANA, zoals hieronder -

  1. Technische gebruiker (DBA-gebruiker) - Het is een gebruiker die rechtstreeks met de SAP HANA-database werkt met de nodige rechten. Normaal gesproken worden deze gebruikers niet uit de database verwijderd.

    Deze gebruikers worden gemaakt voor een beheertaak, zoals het maken van een object en het verlenen van privileges voor een databaseobject of voor de toepassing.

    Het SAP HANA-databasesysteem biedt standaard de volgende gebruiker als standaardgebruiker:

  • SYSTEEM
  • SYS
  • _SYS_REPO
  1. Database of echte gebruiker: elke gebruiker die aan de SAP HANA-database wil werken, heeft een databasegebruiker nodig. Databasegebruiker is een echt persoon die aan SAP HANA werkt.

    Er zijn twee soorten databasegebruikers, zoals hieronder:

Gebruikerstype Omschrijving Rol toegewezen
Standaard gebruiker Deze gebruiker kan objecten in een eigen schema maken en gegevens in systeemweergaven lezen. Standaardgebruiker gemaakt met de instructie "CREATE USER". De PUBLIC-rol is toegewezen voor het lezen van systeemweergaven.
Beperkte gebruiker Beperkte gebruiker heeft geen volledige SQL-toegang via een SQL-console en is gemaakt met de instructie "CREATE RESTRICTED USER". Als privileges vereist zijn voor het gebruik van een applicatie, dan worden deze verstrekt via de rol.
  • Beperkte gebruiker kan geen databaseobjecten maken.
  • Beperkte gebruiker kan geen gegevens in de database bekijken.
  • Beperkte gebruiker maakt alleen verbinding met de database via HTTP.
  • ODBC / JDBC-toegang voor clientverbinding moet worden ingeschakeld met SQL-instructie.
 RESTRICTED_USER_ODBC_ACCESS of RESTRICTED_USER_JDBC_ACCESS rol vereist voor gebruiker voor volledige toegang tot ODBC / JDBC-functionaliteit

SAP HANA-gebruikersbeheerder heeft toegang tot de volgende activiteit -

  1. Gebruiker aanmaken / verwijderen.
  2. Definieer en creëer een rol.
  3. Ken een rol toe aan de gebruiker.
  4. Gebruikerswachtwoord opnieuw instellen.
  5. Activeer / deactiveer de gebruiker opnieuw volgens de vereisten.
  1. Gebruiker aanmaken in SAP HANA - Alleen databasegebruiker met ROLE ADMIN-rechten kan een gebruiker en rol aanmaken in SAP HANA.

    Stap 1) Om een ​​nieuwe gebruiker in SAP HANA Studio aan te maken, gaat u naar het tabblad beveiliging zoals hieronder weergegeven en volgt u de volgende stappen;

    1. Ga naar beveiligingsknooppunt.
    2. Selecteer Gebruikers (klik met de rechtermuisknop) -> Nieuwe gebruiker.

    Stap 2) Er verschijnt een scherm voor het maken van gebruikers.

    1. Vul je gebruikersnaam in.
    2. Voer het wachtwoord in voor de gebruiker.
    3. Dit zijn authenticatiemechanismen, standaard wordt gebruikersnaam / wachtwoord gebruikt voor authenticatie.

Door op de Deploy- knop te klikken, wordt een gebruiker gemaakt.

2. Definieer en creëer een rol

Een rol is een verzameling bevoegdheden die aan andere gebruikers of rollen kunnen worden toegekend. De rol omvat privileges voor databaseobject en -toepassing en is afhankelijk van de aard van de taak.

Het is een standaardmechanisme om privileges te verlenen. Privileges kunnen rechtstreeks aan de gebruiker worden toegekend. Er zijn veel standaardrollen (bijv. MODELLERING, MONITORING, etc.) beschikbaar in de SAP HANA-database.

We kunnen de standaardrol gebruiken als sjabloon voor het maken van een aangepaste rol.

Een rol kan de volgende rechten bevatten:

  • Systeemrechten voor administratieve en ontwikkelingstaken (CATALOGUS LEZEN, AUDIT ADMIN, etc.)
  • Objectbevoegdheden voor databaseobjecten (SELECT, INSERT, DELETE, etc.)
  • Analytische rechten voor SAP HANA-informatieweergave
  • Pakketrechten op repository-pakketten (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
  • Toepassingsrechten voor SAP HANA XS-toepassingen.
  • Rechten voor de gebruiker (voor het debuggen van procedures).

Rolcreatie

Stap 1) In deze stap,

  1. Ga naar het beveiligingsknooppunt in SAP HANA-systeem.
  2. Selecteer Rolknooppunt (klik met de rechtermuisknop) en selecteer Nieuwe rol.

Stap 2) Er wordt een scherm voor het maken van een rol weergegeven.

  1. Geef de rolnaam onder Nieuw rolblok.
  2. Selecteer het tabblad Toegekende rol en klik op het pictogram "+" om een ​​standaardrol of een vertrekkende rol toe te voegen.
  3. Selecteer de gewenste rol (bijv. MODELLERING, MONITORING, etc.)

STAP 3) In deze stap,

  1. De geselecteerde rol wordt toegevoegd op het tabblad Toegekende rollen.
  2. Privileges kunnen rechtstreeks aan de gebruiker worden toegewezen door Systeemprivileges, Objectprivileges, Analytische Privileges, Pakketprivileges, etc. te selecteren.
  3. Klik op het pictogram implementeren om een ​​rol te maken.

Vink de optie "Te verlenen aan andere gebruikers en rollen" aan als u deze rol aan een andere gebruiker en rol wilt toewijzen.

3. Geef de gebruiker een rol

STAP 1) In deze stap zullen we de rol "MODELLING_VIEW" toewijzen aan een andere gebruiker "ABHI_TEST".

  1. Ga naar Gebruikerssubknooppunt onder Beveiligingsknooppunt en dubbelklik erop. Het gebruikersvenster wordt weergegeven.
  2. Klik op Toegekende rollen "+" pictogram.
  3. Er verschijnt een pop-up met de naam van de zoekrol die aan de gebruiker wordt toegewezen.

STAP 2) In deze stap wordt de rol "MODELLING_VIEW" toegevoegd onder Rol.

STAP 3) In deze stap,

  1. Klik op de knop Implementeren.
  2. Het bericht "Gebruiker 'ABHI_TEST" gewijzigd wordt weergegeven.

4. Gebruikerswachtwoord opnieuw instellen

Als het gebruikerswachtwoord opnieuw moet worden ingesteld, gaat u naar Gebruikerssubknooppunt onder Beveiligingsknooppunt en dubbelklikt u erop. Het gebruikersvenster wordt weergegeven.

STAP 1) In deze stap,

  1. Voer een nieuw wachtwoord in.
  2. Voer Bevestig wachtwoord in.

STAP 2) In deze stap,

  1. Klik op de knop Implementeren.
  2. Een bericht "Gebruiker 'ABHI_TEST" gewijzigd wordt weergegeven.

5. Gebruiker opnieuw activeren / deactiveren

Ga naar Gebruikerssubknooppunt onder Beveiligingsknooppunt en dubbelklik erop. Het gebruikersvenster wordt weergegeven.

Er is het pictogram Gebruiker deactiveren. Klik erop

Een bevestigingsbericht "Popup" zal verschijnen. Klik op de knop 'Ja'.

Een bericht "Gebruiker 'ABHI_TEST' gedeactiveerd" wordt weergegeven. Het pictogram De-Activeren verandert met de naam "Gebruiker activeren". Nu kunnen we de gebruiker activeren vanaf hetzelfde pictogram.

SAP HANA-licentiebeheer

De licentiesleutel is vereist om SAP HANA Database te gebruiken. Een licentiesleutel kan worden geïnstalleerd en verwijderd met behulp van SAP HANA Studio, SAP HANA HDBSQL Command Line-tool en HANA SQL Query-editor.

SAP HANA-database ondersteunt twee soorten licentiesleutels -

  • Permanente licentiesleutel: permanente licentiesleutels zijn geldig tot de vervaldatum. We moeten een licentiesleutel aanvragen en toepassen voordat deze verloopt. Als de licentiesleutel verloopt, wordt de tijdelijke licentiesleutel automatisch 28 dagen lang geïnstalleerd.
  • Tijdelijke licentiesleutel: deze wordt automatisch geïnstalleerd bij een nieuwe SAP HANA-database-installatie. Het is 90 dagen geldig en later kan een permanente sleutel worden aangevraagd bij SAP.

Autorisatie van licentiebeheer

"LICENSE ADMIN" -rechten zijn vereist voor licentiebeheer.

SAP HANA-controle

Met SAP HANA-controlefuncties kunt u acties die in het SAP HANA-systeem worden uitgevoerd, bewaken en registreren. Deze functies moeten voor het systeem worden geactiveerd voordat een auditbeleid wordt gemaakt.

Autorisatie voor SAP HANA Auditing

"AUDIT ADMIN" -systeemprivileges vereist voor SAP HANA-auditing.

Samenvatting :

In deze tutorial hebben we het volgende onderwerp geleerd -

  • SAP HANA Security-overzicht.
  • SAP HANA-verificatie in detail.
  • SAP HANA-autorisatie in detail.
  • SAP HANA-gebruikersbeheermethode.
  • SAP HANA-rolbeheermethode
  • SAP HANA-licentiebeheerproces.
  • SAP HANA-rolcontroleproces.