САП ХАНА Сецурити: Комплетна лекција

Преглед садржаја:

Anonim
Шта је Сап Хана Сецурити?

САП ХАНА Сецурити штити важне податке од неовлашћеног приступа и осигурава да стандарди и усклађеност испуњавају сигурносни стандард који је усвојила компанија.

САП ХАНА пружа могућност, тј. Мултитенант базу података, у којој се може креирати више база података на једном САП ХАНА систему. Познат је као мултитенант контејнер базе података. Дакле, САП ХАНА пружа све безбедносне функције за све мултитенантне контејнере база података.

САП ХАНА Пружа следеће безбедносне функције -

  • Управљање корисницима и улогама
  • Овлашћење
  • Аутентикација
  • Шифровање података у слоју постојаности
  • Шифровање података у мрежном слоју

Корисник и улога САП ХАНА

Конфигурација управљања САП ХАНА корисницима и улогама зависи од архитектуре као у наставку -

  1. Трослојна архитектура.

    САП ХАНА се може користити као релациона база података у трослојној архитектури.

    У овој архитектури, сигурносне функције (ауторизација, потврда идентитета, шифровање и ревизија) инсталиране су на слојевима апликационог сервера.

    САП апликација (ЕРП, БВ, итд.) Повезује се са базом података само уз помоћ техничког корисника или администратора базе података (Басис Персон). Крајњи корисник не може директно приступити бази података или серверу базе података.

  1. 2-слојна архитектура.

    Проширене апликативне услуге САП ХАНА (САП ХАНА КСС) заснивају се на архитектури 2 нивоа, у којој су апликациони сервер, веб сервер и развојно окружење уграђени у један систем.

Провера аутентичности САП ХАНА

Корисник базе података идентификује ко приступа САП ХАНА бази података. Верификује се поступком под називом „Аутентификација“. САП ХАНА подржава многе методе потврде идентитета. Једнократна пријава (ССО) користи се за интегрисање неколико метода потврде идентитета.

САП ХАНА подржава следећи метод потврде идентитета -

  • Керберос: Може се користити у следећем случају -
    • Директно од ЈДБЦ и ОДБЦ клијента (САП ХАНА Студио).
    • Када се ХТТП користи за приступ САП ХАНА КСС.
  • Корисничко име Лозинка

    Када корисник унесе корисничко име и лозинку своје базе података, тада база података САП ХАНА овјерава корисника.

  • Означни језик за безбедносну тврдњу (САМЛ)

    САМЛ се може користити за потврду идентитета корисника САП ХАНА који приступа САП ХАНА бази података директно путем ОДБЦ / ЈДБЦ. То је процес мапирања идентитета екстерног корисника са интерним корисником базе података, тако да се корисник може пријавити у сап базу података са екстерним корисничким ИД-ом.

  • Улазнице за САП пријаву и тврдњу

    Потврда идентитета корисника може бити путем улазница или потврдних тикета, који се конфигуришу и издају кориснику за стварање улазнице.

  • Кс.509 Сертификати клијената

    Када САП ХАНА КСС приступа путем ХТТП-а, за потврду идентитета корисника могу се користити клијентски сертификати потписани од стране поузданог тела за издавање сертификата (ЦА).

Овлашћење за САП ХАНА

Овлашћење за САП ХАНА потребно је када корисник који користи клијентски интерфејс (ЈДБЦ, ОДБЦ или ХТТП) приступа САП ХАНА бази података.

У зависности од овлашћења датог кориснику, он може изводити операције базе података на објекту базе података. Ово овлашћење се назива „привилегијама“.

Привилегије се могу доделити кориснику директно или индиректно (кроз улоге). Све привилегије додељене корисницима комбиноване су као једна целина.

Када корисник покуша приступити било којем објекту базе података САП ХАНА, ХАНА систем врши проверу ауторизације на кориснику путем корисничких улога и директно додељује привилегије.

Када се пронађу захтеване привилегије, ХАНА систем прескаче даље провере и одобрава приступ захтевима објеката базе података.

У САП ХАНА следеће привилегије су њихове -

Врсте привилегија Опис
Привилегије система Контролише нормалну активност система. Системске привилегије углавном се користе за -
  • Стварање и брисање шеме у САП ХАНА бази података
  • Управљање корисником и улогом у САП ХАНА бази података
  • Надгледање и праћење базе података САП ХАНА
  • Израда сигурносних копија података
  • Лиценца за управљање
  • Управљачка верзија
  • Управљање ревизијом
  • Увоз и извоз садржаја
  • Одржавање доставних јединица
Привилегије објеката Привилегије објеката су СКЛ привилегије које се користе за давање овлаштења за читање и измјену објеката базе података. За приступ објектима базе података кориснику су потребне привилегије објеката на објектима базе података или на шеми у којој објект базе података постоји. Привилегије објеката могу се додијелити каталошким објектима (табела, поглед итд.) Или некатолошким објектима (развојни објекти). Привилегије објеката су као испод -
  • СТВАРИ БИЛО КОЈЕ
  • УПДАТЕ, ИНСЕРТ, СЕЛЕЦТ, ДЕЛЕТЕ, ДРОП, АЛТЕР, ЕКСЕЦУТЕ
  • ИНДЕКС, ТРИГГЕР, ДЕБУГ, ЛИТЕРАТУРА
Аналитичке привилегије Аналитичке привилегије користе се за омогућавање приступа читању података САП ХАНА Информационог модела (приказ атрибута, аналитички приказ, приказ израчуна).
  • Ова привилегија се процењује током обраде упита.
  • Аналитичке привилегије омогућавају различит приступ кориснику различитим деловима података у
  • Исти приказ информација заснован на улози корисника.
  • Аналитичке привилегије користе се у бази података САП ХАНА за пружање података на нивоу реда
Контрола за појединачне кориснике да виде податке је у истом приказу.
Привилегије пакета Привилегије пакета користе се за обезбеђивање ауторизације за радње на појединачним пакетима у САП ХАНА Репозиторијуму.
Привилегије апликације Привилегије апликације су потребне у програму САП ХАНА Ектендед Апплицатион Сервицес (САП ХАНА КСС) за приступ апликацији. Привилегије апликације додељују се и опозивају кроз процедуреГРАНТ_АППЛИЦАТИОН_ПРИВИЛЕГЕ и РЕВОКЕ_АППЛИЦАТИОН_ПРИВИЛЕГЕ у схеми _СИС_РЕПО.
Привилегије на корисника То су СКЛ привилегије, које корисник може доделити сопственом кориснику. АТТАЦХ ДЕБУГГЕР је једина привилегија која се може доделити кориснику.

Администрација корисника и управљање улогама САП ХАНА

Да би приступили САП ХАНА бази података, корисници су потребни. Овисно о различитим сигурносним политикама, постоје двије врсте корисника у САП ХАНА, као у наставку -

  1. Технички корисник (ДБА корисник) - То је корисник који директно ради са базом података САП ХАНА са потребним привилегијама. Ови корисници се обично не бришу из базе података.

    Ови корисници су створени за административни задатак као што је стварање објекта и додељивање привилегија за објекат базе података или за апликацију.

    САП ХАНА систем базе података подразумевано нуди следећег корисника као стандардног корисника

  • СИСТЕМ
  • СИС
  • _СИС_РЕПО
  1. База података или стварни корисник: Сваки корисник који жели радити на САП ХАНА бази података, треба корисника базе података. Корисник базе података је стварна особа која ради на САП ХАНА.

    Постоје две врсте корисника базе података као што је приказано доле -

Тип корисника Опис Улога додељена
Стандардни корисник Овај корисник може да креира објекте у сопственој шеми и чита податке у системским приказима. Стандардни корисник направљен са „ЦРЕАТЕ УСЕР“ изјавом. Јавна улога је додељена за прочитане системске погледе.
Ограничени корисник Ограничени корисник нема потпун СКЛ приступ путем СКЛ конзоле и креиран је изразом „ЦРЕАТЕ РЕСТРИЦТЕД УСЕР“. Ако су привилегије потребне за употребу било које апликације, оне се пружају кроз улогу.
  • Ограничени корисник не може да креира објекте базе података.
  • Ограничени корисник не може да види податке у бази података.
  • Ограничени корисник се повезује са базом података само путем ХТТП-а.
  • ОДБЦ / ЈДБЦ приступ за везу клијента мора бити омогућен са СКЛ изразом.
 РЕСТРИЦТЕД_УСЕР_ОДБЦ_АЦЦЕСС или РЕСТРИЦТЕД_УСЕР_ЈДБЦ_АЦЦЕСС улога потребна кориснику за пуни приступ ОДБЦ / ЈДБЦ функционалности

Администратор корисника САП ХАНА има приступ следећим активностима -

  1. Направите / избришите корисника.
  2. Дефинисати и створити улогу.
  3. Доделите улогу кориснику.
  4. Ресетовање корисничке лозинке.
  5. Поново активирајте / деактивирајте корисника према захтеву.
  1. Створи корисника у САП ХАНА - само корисник базе података са привилегијама РОЛЕ АДМИНИЦ може створити корисника и улогу у САП ХАНА.

    Корак 1) Да бисте креирали новог корисника у САП ХАНА Студио, идите на картицу сигурност као што је приказано испод и следите следеће кораке;

    1. Идите на сигурносни чвор.
    2. Изаберите Корисници (десни клик) -> Нови корисник.

    Корак 2) Појавиће се екран за креирање корисника.

    1. Унесите име.
    2. Унесите лозинку за корисника.
    3. То су механизми за потврду идентитета, за аутентификацију се подразумевано користи корисничко име / лозинка.

Кликом на дугме за постављање створиће се корисник.

2. Дефинишите и креирајте улогу

Улога је збирка привилегија које се могу доделити другим корисницима или улози. Улога укључује привилегије за објект и апликацију базе података и у зависности од природе посла.

То је стандардни механизам за додељивање привилегија. Привилегије се могу директно доделити кориснику. У бази података САП ХАНА постоји много стандардних улога (нпр. МОДЕЛИРАЊЕ, МОНИТОРИНГ, итд.).

Стандардну улогу можемо користити као образац за креирање прилагођене улоге.

Улога може садржати следеће привилегије -

  • Системске привилегије за административни и развојни задатак (КАТАЛОГ ПРОЧИТАЈТЕ, РЕВИЗИЈСКИ АДМИНИСТЕР, итд.)
  • Привилегије објеката за објекте базе података (СЕЛЕЦТ, ИНСЕРТ, ДЕЛЕТЕ, итд.)
  • Аналитичке привилегије за информативни приказ САП ХАНА
  • Привилегије пакета на пакетима спремишта (РЕПО.РЕАД, РЕПО.ЕДИТ_НАТИВЕ_ОБЈЕЦТС, итд.)
  • Привилегије апликација за САП ХАНА КСС апликације.
  • Привилегије за корисника (за отклањање грешака у процедури).

Стварање улога

Корак 1) У овом кораку,

  1. Идите на Сигурносни чвор у систему САП ХАНА.
  2. Изаберите Чвор улоге (десни клик) и изаберите Нова улога.

Корак 2) Приказује се екран за стварање улога.

  1. Дајте име улози под Нев Роле Блоцк.
  2. Изаберите картицу Одобрена улога и кликните на икону „+“ да бисте додали стандардну улогу или излазећу улогу.
  3. Изаберите жељену улогу (нпр. МОДЕЛИРАЊЕ, МОНИТОРИНГ, итд.)

КОРАК 3) У овом кораку,

  1. Изабрана улога је додата на картици Одобрене улоге.
  2. Привилегије се могу доделити кориснику директно избором системских привилегија, привилегија објекта, аналитичких привилегија, привилегија пакета итд.
  3. Кликните на икону за постављање да бисте креирали улогу.

Означите опцију „Дозвољено другим корисницима и улогама“, ако желите да доделите ову улогу другом кориснику и улози.

3. Доделите улогу кориснику

КОРАК 1) У овом кораку ћемо доделити улогу „МОДЕЛЛИНГ_ВИЕВ“ другом кориснику „АБХИ_ТЕСТ“.

  1. Идите на Кориснички под чвор под Сигурносни чвор и двапут кликните на њега. Приказаће се кориснички прозор.
  2. Кликните на икону Одобрене улоге „+“.
  3. Појавиће се искачући прозор са називом улоге за претрагу који ће бити додељен кориснику.

КОРАК 2) У овом кораку, улога „МОДЕЛЛИНГ_ВИЕВ“ биће додата под Улога.

КОРАК 3) У овом кораку,

  1. Кликните на дугме за постављање.
  2. Приказује се порука „Корисник 'АБХИ_ТЕСТ“ промењен.

4. Ресетовање корисничке лозинке

Ако је корисничка лозинка потребно ресетовати, идите на Кориснички под чвор под Сигурносни чвор и двапут кликните на њу. Приказаће се кориснички прозор.

КОРАК 1) У овом кораку,

  1. Унесите нову шифру.
  2. Унесите Потврдите лозинку.

КОРАК 2) У овом кораку,

  1. Кликните на дугме за постављање.
  2. Приказује се порука „Корисник 'АБХИ_ТЕСТ“ промењен.

5. Поновно активирање / деактивирање корисника

Идите на Кориснички под чвор под Сигурносни чвор и двапут кликните на њега. Приказаће се кориснички прозор.

Постоји икона за деактивирање корисника. Кликни на то

Појавиће се порука за потврду "Скочни прозор". Кликните на дугме „Да“.

Приказаће се порука "Корисник 'АБХИ_ТЕСТ' деактивиран". Икона за деактивирање се мења именом "Активирај корисника". Сада можемо активирати корисника помоћу исте иконе.

САП ХАНА управљање лиценцама

Кључ лиценце потребан је за употребу базе података САП ХАНА. Лиценцни кључ се може инсталирати и избрисати помоћу САП ХАНА Студио, алата за наредбене линије САП ХАНА ХДБСКЛ и уређивача упита ХАНА СКЛ.

САП ХАНА база података подржава две врсте лиценцног кључа -

  • Трајни лиценцни кључ: Трајни лиценцни кључеви важе до датума истека. Морамо затражити и применити кључ лиценце пре истека. Ако лиценцни кључ истекне, привремени лиценцни кључ се аутоматски инсталира на 28 дана.
  • Привремени кључ лиценце: Ово се аутоматски инсталира новом инсталацијом базе података САП ХАНА. Важи 90 дана, а касније се може пријавити за трајни кључ од САП-а.

Овлашћење за управљање лиценцама

За управљање лиценцама потребне су привилегије „ЛИЦЕНСЕ АДМИН“ .

САП ХАНА ревизија

Функције ревизије САП ХАНА омогућавају вам праћење и снимање радњи које се изводе у систему САП ХАНА. Ове функције треба активирати за систем пре креирања политике ревизије.

Овлашћење за ревизију САП ХАНА

Системске привилегије „АУДИТ АДМИНИР“ потребне за САП ХАНА ревизију.

Резиме :

У овом упутству научили смо следећу тему -

  • Преглед безбедности САП ХАНА.
  • Детаљна аутентификација за САП ХАНА.
  • Детаљно одобрење за САП ХАНА.
  • Метода администрације корисника САП ХАНА.
  • Метода администрирања улога САП ХАНА
  • Процес управљања лиценцом за САП ХАНА.
  • Процес ревизије улоге САП ХАНА.