SAP HANA Security: Teljes útmutató

Mi a Sap Hana Security?

Az SAP HANA Security megvédi a fontos adatokat az illetéktelen hozzáféréstől, és biztosítja, hogy a szabványok és a megfelelés megfeleljen a vállalat által elfogadott biztonsági szabványoknak.

Az SAP HANA egy olyan létesítményt, azaz Multitenant adatbázist biztosít, amelyben több adatbázis hozható létre egyetlen SAP HANA rendszeren. Multitenant adatbázis-tároló néven ismert. Tehát az SAP HANA biztosítja az összes biztonsággal kapcsolatos funkciót az összes multitenant adatbázis-tárolóhoz.

SAP HANA Biztosítsa a következő, biztonsággal kapcsolatos szolgáltatásokat -

Felhasználói és szerepkezelés
Engedélyezés
Hitelesítés
Adatok titkosítása a perzisztencia rétegben
Adatok titkosítása a Hálózati rétegben

SAP HANA felhasználó és szerepkör

Az SAP HANA felhasználói és szerepkörkezelési konfigurációja az alábbi architektúrától függ -

3 szintes építészet.
Az SAP HANA relációs adatbázisként használható a 3-rétegű architektúrában.

Ebben az architektúrában biztonsági szolgáltatásokat (hitelesítés, hitelesítés, titkosítás és naplózás) telepítenek az alkalmazáskiszolgáló rétegekre.

Az SAP alkalmazás (ERP, BW stb.) Csak technikai felhasználó vagy adatbázis-adminisztrátor (Basis Person) segítségével csatlakozik az adatbázishoz. A végfelhasználó nem férhet hozzá közvetlenül az adatbázishoz vagy az adatbázis-kiszolgálóhoz.

2 szintes építészet.
Az SAP HANA kiterjesztett alkalmazásszolgáltatások (SAP HANA XS) a 2-rétegű architektúrán alapul, amelyben az alkalmazáskiszolgáló, a webkiszolgáló és a fejlesztői környezet egyetlen rendszerbe van ágyazva.

SAP HANA hitelesítés

Az adatbázis felhasználó azonosítja, hogy ki fér hozzá az SAP HANA adatbázishoz. "Hitelesítés" nevű folyamaton keresztül ellenőrizzük. Az SAP HANA számos hitelesítési módot támogat. Az egyszeri bejelentkezés (SSO) több hitelesítési módszer integrálására szolgál.

Az SAP HANA támogatja a következő hitelesítési módszert -

Kerberos: A következő esetekben használható -
- Közvetlenül a JDBC és az ODBC kliensektől (SAP HANA Studio).
- Ha a HTTP-t az SAP HANA XS elérésére használják.
Felhasználónév jelszó
Amikor a felhasználó megadja az adatbázis felhasználónevét és jelszavát, akkor az SAP HANA adatbázis hitelesíti a felhasználót.
Security Assertion Markup Language (SAML)
A SAML használható az SAP HANA-felhasználó hitelesítésére, aki az ODBC / JDBC-n keresztül közvetlenül hozzáfér az SAP HANA-adatbázishoz. Ez a folyamat a külső felhasználói identitás leképezését a belső adatbázis felhasználóval, így a felhasználó bejelentkezhet a sap adatbázisba a külső felhasználói azonosítóval.
SAP bejelentkezési és érvényesítési jegyek
A felhasználót a bejelentkezési vagy az érvényesítési jegyekkel lehet hitelesíteni, amelyet konfigurálnak és kiadnak a felhasználó számára egy jegy létrehozásához.
X.509 kliens tanúsítványok
Amikor az SAP HANA XS HTTP-n keresztül érhető el, megbízható tanúsító hatóság (CA) által aláírt ügyféltanúsítványok használhatók a felhasználó hitelesítéséhez.

SAP HANA engedélyezés

SAP HANA hitelesítésre van szükség, ha a felhasználó az ügyfélfelületet (JDBC, ODBC vagy HTTP) használja az SAP HANA adatbázis eléréséhez.

A felhasználónak biztosított jogosultságtól függően adatbázis-műveleteket hajthat végre az adatbázis-objektumon. Ezt az engedélyt "privilégiumoknak" hívják.

A jogosultságok közvetlenül vagy közvetve (szerepkörökön keresztül) adhatók a felhasználónak. A felhasználókhoz rendelt összes jogosultság egyetlen egységként van egyesítve.

Amikor a felhasználó megpróbál hozzáférni bármelyik SAP HANA adatbázis objektumhoz, a HANA System felhasználói szerepkörökön keresztül ellenőrzi a felhasználót, és közvetlenül megadja a jogosultságokat.

Amikor a Jogosultak megtalálhatók, a HANA rendszer kihagyja a további ellenőrzéseket és hozzáférést biztosít a kérelmezett adatbázis-objektumokhoz.

Az SAP HANA-ban a következő jogosultságok vannak -

Jogosultságok típusai	Leírás
Rendszerjogosultságok	Szabályozza a rendszer normális aktivitását. A rendszerjogosultságokat elsősorban Séma létrehozása és törlése az SAP HANA adatbázisban Felhasználó és szerepkör kezelése az SAP HANA adatbázisban Az SAP HANA adatbázis figyelése és nyomon követése Adatmentés végrehajtása A licenc kezelése Kezelő verzió Az audit irányítása Tartalom importálása és exportálása Szállítási egységek fenntartása
Tárgyjogosultságok	Az objektumjogosultságok SQL-jogosultságok, amelyek felhatalmazást adnak az adatbázis-objektumok olvasására és módosítására. Az adatbázis-objektumokhoz való hozzáféréshez a felhasználónak objektum-jogosultságokra van szüksége az adatbázis-objektumokon vagy azon sémán, amelyben az adatbázis-objektum létezik. Objektumjogosultságok adhatók katalógusobjektumoknak (tábla, nézet stb.) Vagy nem katalógusobjektumoknak (fejlesztési objektumok). Az objektumjogosultságok a következők: TEREMTENI BÁRMIT UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE TÁRGYMUTATÓ, TRIGGER, HIBAKERESÉS, HIVATKOZÁSOK
Analitikai kiváltságok	Az analitikai jogosultságok az SAP HANA információs modell adatainak olvasási hozzáférésének engedélyezésére szolgálnak (attribútum nézet, elemző nézet, számítási nézet). Ezt a jogosultságot a lekérdezés feldolgozása során értékelik. Az analitikai jogosultságok különböző felhasználói hozzáférést biztosítanak a Ugyanaz az információs nézet a felhasználói szerepkör alapján. Az SAP HANA adatbázisban analitikus jogosultságokat használnak sorszintű adatok biztosításához Ugyanazon nézetben van az egyes felhasználók vezérlése az adatok megtekintésére.
Csomagjogosultságok	A csomagjogosultságok az SAP HANA-tárház egyes csomagjaival kapcsolatos műveletek engedélyezésére szolgálnak.
Alkalmazási jogosultságok	Alkalmazási jogosultságokra van szükség az SAP HANA kiterjesztett alkalmazásszolgáltatásaiban (SAP HANA XS) a hozzáférési alkalmazáshoz. Az alkalmazásjogosultságokat a procedúrák GRANT_APPLICATION_PRIVILEGE és REVOKE_APPLICATION_PRIVILEGE eljárással adják meg és vonják vissza a _SYS_REPO sémában.
A felhasználó kiváltságai	Ez egy SQL privilégium, amelyet a felhasználó saját felhasználón adhat meg. Az ATTACH DEBUGGER az egyetlen kiváltság, amelyet a felhasználó megadhat.

SAP HANA felhasználói adminisztráció és szerepkezelés

Az SAP HANA adatbázis eléréséhez felhasználókra van szükség. A különböző biztonsági házirendektől függően az SAP HANA-ban kétféle felhasználó létezik:

Műszaki felhasználó (DBA-felhasználó) - Ez egy olyan felhasználó, aki közvetlenül az SAP HANA adatbázissal dolgozik, a szükséges jogosultságokkal. Általában ezeket a felhasználókat nem törlik az adatbázisból.
Ezeket a felhasználókat adminisztratív feladatokhoz hozták létre, például objektum létrehozásához és privilégiumok megadásához az adatbázis-objektumon vagy az alkalmazáson.

Az SAP HANA adatbázis rendszer alapértelmezés szerint a következő felhasználókat biztosítja

RENDSZER
SYS
_SYS_REPO

Adatbázis vagy valós felhasználó: Minden felhasználónak, aki az SAP HANA adatbázison szeretne dolgozni, szüksége van egy adatbázis felhasználóra. Az adatbázis felhasználó egy valódi személy, aki az SAP HANA-n dolgozik.
Kétféle adatbázis-felhasználó létezik, az alábbiak szerint:

Felhasználó típusa	Leírás	Kiosztva a szerep
Normál felhasználó	Ez a felhasználó objektumokat hozhat létre saját sémájában, és adatokat olvashat a rendszer nézeteiben. Normál felhasználó létrehozva "CREATE USER" utasítással.	PUBLIC szerepkört rendelnek az olvasott rendszer nézetekhez.
Korlátozott felhasználó	A Korlátozott felhasználónak nincs teljes SQL hozzáférése az SQL konzolon keresztül, és a "CREATE RESTRICTED USER" utasítással jött létre. Ha bármely alkalmazás használatához jogosultságokra van szükség, akkor azokat a szerepkör biztosítja. A Korlátozott felhasználó nem hozhat létre adatbázis-objektumokat. Korlátozott felhasználó nem tekintheti meg az adatokat az adatbázisban. A korlátozott felhasználó csak HTTP-n keresztül csatlakozik az adatbázishoz. Az ügyfélkapcsolat ODBC / JDBC hozzáférését engedélyezni kell az SQL utasítással.	RESTRICTED_USER_ODBC_ACCESS vagy RESTRICTED_USER_JDBC_ACCESS szerepkör szükséges a felhasználó számára az ODBC / JDBC funkcionalitás teljes eléréséhez

Az SAP HANA felhasználói rendszergazdák hozzáférhetnek a következő tevékenységekhez -

Felhasználó létrehozása / törlése.
Definiálja és hozza létre a szerepet.
Megadhat szerepet a felhasználónak.
Felhasználói jelszó visszaállítása.
Újra aktiválja / deaktiválja a felhasználót a követelményeknek megfelelően.

Felhasználó létrehozása az SAP HANA-ban - csak ROLE ADMIN jogosultságokkal rendelkező adatbázis-felhasználó hozhat létre felhasználót és szerepet az SAP HANA-ban.
1. lépés: Új felhasználó létrehozásához az SAP HANA Studio alkalmazásban lépjen a biztonsági fülre az alábbiak szerint, és kövesse az alábbi lépéseket;
1. Lépjen a biztonsági csomópontra.
2. Válassza a Felhasználók (jobb gombbal) -> Új felhasználó lehetőséget.
2. lépés: Megjelenik a felhasználó létrehozásának képernyője.
1. Adja meg a felhasználónevet.
2. Írja be a felhasználó jelszavát.
3. Ezek hitelesítési mechanizmusok, alapértelmezés szerint a felhasználónevet / jelszót használják a hitelesítéshez.

A telepítés gombra kattintva a felhasználó létrejön.

2. Definiálja és hozza létre a szerepet

A szerepkör olyan jogosultságok gyűjteménye, amelyek más felhasználóknak vagy szerepköröknek megadhatók. A szerepkör tartalmazza az adatbázis-objektumok és -alkalmazások kiváltságait, a munka jellegétől függően.

A kiváltságok megadásának szokásos mechanizmusa. A jogosultságokat közvetlenül megadhatjuk a felhasználónak. Az SAP HANA adatbázisban sok szabványos szerepkör (pl. MODELLEZÉS, MONITORING stb.) Érhető el.

A szabványos szerepet sablonként használhatjuk egyéni szerepkör létrehozásához.

A szerepkör a következő jogosultságokat tartalmazhatja -

Rendszerjogosultságok az adminisztrációs és fejlesztési feladatokhoz (CATALOG READ, AUDIT ADMIN stb.)
Objektumjogosultságok az adatbázis-objektumokhoz (SELECT, INSERT, DELETE stb.)
Az SAP HANA információs nézet elemzési jogosultságai
Csomagjogosultságok a tárolócsomagokra (REPO.READ, REPO.EDIT_NATIVE_OBJECTS stb.)
Alkalmazási jogosultságok az SAP HANA XS alkalmazásokhoz.
A felhasználó jogosultságai (az eljárás hibakereséséhez).

Szerep létrehozása

1. lépés) Ebben a lépésben

Lépjen az SAP HANA rendszer Biztonsági csomópontjához.
Válassza a Szerepcsomópont (jobb gombbal) lehetőséget, majd válassza az Új szerep lehetőséget.

2. lépés: Megjelenik a szerep létrehozásának képernyője.

Adja meg a Szerep nevét az Új szerep blokk alatt.
Válassza a Megengedett szerepkör fület, és kattintson a "+" ikonra a normál szerep vagy a kilépő szerep hozzáadásához.
Válassza ki a kívánt szerepet (pl. MODELLEZÉS, MONITORING stb.)

3. LÉPÉS: Ebben a lépésben

A Kiválasztott szerepkör hozzáadódik a Megengedett szerepek fülre.
A jogosultságok közvetlenül a felhasználóhoz rendelhetők a Rendszerjogosultságok, az Objektumjogosultságok, az Analitikai jogosultságok, a Csomagjogosultságok stb. Kiválasztásával.
Kattintson a telepítés ikonra a szerep létrehozásához.

Jelölje be a "Megengedhető más felhasználóknak és szerepköröknek" jelölőnégyzetet, ha ezt a szerepet más felhasználókhoz és szerepekhez kívánja rendelni.

3. Adjon szerepet a felhasználónak

1. LÉPÉS) Ebben a lépésben hozzárendeljük a (z) "MODELLING_VIEW" szerepkört egy másik "ABHI_TEST" felhasználóhoz.

Lépjen a Felhasználói alcsomópontra a Biztonsági csomópont alatt, és kattintson rá duplán. Felhasználói ablak jelenik meg.
Kattintson a Megengedett szerepek "+" ikonra.
Megjelenik egy felugró ablak, a Keresési szerep neve, amelyet a felhasználóhoz rendelünk.

2. LÉPÉS) Ebben a lépésben a "MODELLING_VIEW" szerepkör hozzáadódik a Szerep mezőhöz.

3. LÉPÉS: Ebben a lépésben

Kattintson a Telepítés gombra.
Megjelenik a "Felhasználó 'ABHI_TEST" üzenet.

4. A felhasználói jelszó visszaállítása

Ha a felhasználói jelszót vissza kell állítani, akkor lépjen a Biztonsági csomópont alatti Felhasználó alcsomópontra, és kattintson rá duplán. Felhasználói ablak jelenik meg.

1. LÉPÉS: Ebben a lépésben

Adjon meg új jelszót.
Írja be a Jelszó megerősítése lehetőséget.

2. LÉPÉS) Ebben a lépésben

Kattintson a Telepítés gombra.
Megjelenik a "Felhasználó 'ABHI_TEST" üzenet megváltozott.

5. A felhasználó újraaktiválása / deaktiválása

Lépjen a Felhasználói alcsomópontra a Biztonsági csomópont alatt, és kattintson rá duplán. Felhasználói ablak jelenik meg.

Van a Felhasználó kikapcsolása ikon. Kattintson rá

Megjelenik egy "Popup" megerősítő üzenet. Kattintson az „Igen” gombra.

Megjelenik az „ABHI_TEST felhasználó deaktiválva” üzenet. Az Aktiválás visszavonása ikon a "Felhasználó aktiválása" névvel változik. Most ugyanarról az ikonról aktiválhatjuk a felhasználót.

SAP HANA licenckezelés

A licenckulcs az SAP HANA adatbázis használatához szükséges. A licenckulcs telepíthető és törölhető az SAP HANA Studio, az SAP HANA HDBSQL parancssori eszköz és a HANA SQL Query szerkesztő segítségével.

Az SAP HANA adatbázis kétféle licenckulcsot támogat -

Állandó licenckulcs: Az állandó licenckulcsok a lejáratig érvényesek. Lejárat előtt meg kell kérnünk és alkalmaznunk a licenckulcsot. Ha a licenckulcs lejár, az ideiglenes licenckulcs automatikusan települ 28 napra.
Ideiglenes licenckulcs: Ez automatikusan települ egy új SAP HANA adatbázis-telepítéssel. 90 napig érvényes, és később kérheti az állandó kulcsot az SAP-tól.

A licenckezelés engedélyezése

A licenckezeléshez "LICENC ADMIN" jogosultságokra van szükség.

SAP HANA auditálás

Az SAP HANA naplózási funkciói lehetővé teszik az SAP HANA rendszerben végrehajtott műveletek figyelemmel kísérését és rögzítését. Ezeket a szolgáltatásokat aktiválni kell a rendszerben az audit házirend létrehozása előtt.

Engedélyezés az SAP HANA Auditing számára

"AUDIT ADMIN" rendszerjogosultságok szükségesek az SAP HANA auditáláshoz.

Összegzés :

Ebben az oktatóanyagban a következő témát tanultuk meg: