Sicurezza SAP HANA: tutorial completo

Sommario:

Anonim
Cos'è Sap Hana Security?

SAP HANA Security protegge i dati importanti da accessi non autorizzati e garantisce che gli standard e la conformità soddisfino gli standard di sicurezza adottati dall'azienda.

SAP HANA fornisce una struttura, ovvero un database multitenant, in cui è possibile creare più database su un unico sistema SAP HANA. È noto come contenitore di database multitenant. Quindi SAP HANA fornisce tutte le funzionalità relative alla sicurezza per tutti i contenitori di database multi-tenant.

SAP HANA Fornisce le seguenti funzionalità relative alla sicurezza:

  • Gestione utenti e ruoli
  • Autorizzazione
  • Autenticazione
  • Crittografia dei dati in Persistence Layer
  • Crittografia dei dati nel livello di rete

Utente e ruolo SAP HANA

La configurazione della gestione degli utenti e dei ruoli SAP HANA dipende dall'architettura come di seguito:

  1. Architettura a 3 livelli.

    SAP HANA può essere utilizzato come database relazionale in un'architettura a 3 livelli.

    In questa architettura, le funzionalità di sicurezza (autorizzazione, autenticazione, crittografia e controllo) sono installate sui livelli del server delle applicazioni.

    L'applicazione SAP (ERP, BW, ecc.) Si connette al database solo con l'aiuto di un utente tecnico o amministratore del database (Persona di base). L'utente finale non può accedere direttamente al database o al server di database.

  1. Architettura a 2 livelli.

    SAP HANA Extended Application Services (SAP HANA XS) si basa su un'architettura a 2 livelli, in cui il server delle applicazioni, il server Web e l'ambiente di sviluppo sono incorporati in un unico sistema.

Autenticazione SAP HANA

L'utente del database identifica chi accede al database SAP HANA. Viene verificato tramite un processo denominato "Autenticazione". SAP HANA supporta molti metodi di autenticazione. Single Sign-on (SSO) vengono utilizzati per integrare diversi metodi di autenticazione.

SAP HANA supporta il seguente metodo di autenticazione:

  • Kerberos: può essere utilizzato nel seguente caso:
    • Direttamente da JDBC e client ODBC (SAP HANA Studio).
    • Quando HTTP viene utilizzato per accedere a SAP HANA XS.
  • Nome utente / password

    Quando l'utente immette il nome utente e la password del database, il database SAP HANA autentica l'utente.

  • SAML (Security Assertion Markup Language)

    SAML può essere utilizzato per autenticare l'utente SAP HANA, che accede al database SAP HANA direttamente tramite ODBC / JDBC. È un processo di mappatura dell'identità dell'utente esterno all'utente del database interno, quindi l'utente può accedere al database sap con l'ID utente esterno.

  • Accesso SAP e ticket di asserzione

    L'utente può essere autenticato tramite Logon o Assertion Ticket, configurati e rilasciati all'utente per la creazione di un ticket.

  • Certificati client X.509

    Quando SAP HANA XS Access tramite HTTP, i certificati client firmati da un'autorità di certificazione (CA) attendibile possono essere utilizzati per autenticare l'utente.

Autorizzazione SAP HANA

L'autorizzazione SAP HANA è richiesta quando un utente utilizza l'interfaccia client (JDBC, ODBC o HTTP) per accedere al database SAP HANA.

A seconda dell'autorizzazione fornita all'utente, può eseguire operazioni di database sull'oggetto database. Questa autorizzazione è chiamata "privilegi".

I privilegi possono essere concessi all'utente direttamente o indirettamente (tramite ruoli). Tutti i privilegi assegnati agli utenti vengono combinati come una singola unità.

Quando un utente tenta di accedere a qualsiasi oggetto del database SAP HANA, il sistema HANA esegue il controllo dell'autorizzazione sull'utente tramite i ruoli utente e concede direttamente i privilegi.

Quando vengono trovati i privilegi richiesti, il sistema HANA salta ulteriori controlli e concede l'accesso per richiedere gli oggetti del database.

In SAP HANA i seguenti privilegi sono i loro:

Tipi di privilegi Descrizione
Privilegi di sistema Controlla la normale attività del sistema. I privilegi di sistema vengono utilizzati principalmente per:
  • Creazione ed eliminazione dello schema nel database SAP HANA
  • Gestione di utenti e ruoli nel database SAP HANA
  • Monitoraggio e tracciabilità del database SAP HANA
  • Esecuzione di backup dei dati
  • Gestione della licenza
  • Versione di gestione
  • Gestione dell'audit
  • Importazione ed esportazione di contenuti
  • Mantenimento delle unità di consegna
Privilegi oggetto I privilegi degli oggetti sono privilegi SQL utilizzati per fornire l'autorizzazione a leggere e modificare gli oggetti del database. Per accedere agli oggetti del database, l'utente deve disporre dei privilegi degli oggetti sugli oggetti del database o sullo schema in cui esiste l'oggetto del database. I privilegi degli oggetti possono essere concessi a oggetti di catalogo (tabella, vista, ecc.) O oggetti non di catalogo (oggetti di sviluppo). I privilegi dell'oggetto sono i seguenti:
  • CREA QUALSIASI
  • AGGIORNA, INSERISCI, SELEZIONA, ELIMINA, ELIMINA, ALTERA, ESEGUI
  • INDICE, TRIGGER, DEBUG, RIFERIMENTI
Privilegi analitici I privilegi analitici vengono utilizzati per consentire l'accesso in lettura ai dati del modello informativo SAP HANA (vista attributi, vista analitica, vista calcolo).
  • Questo privilegio viene valutato durante l'elaborazione delle query.
  • I privilegi analitici consentono a utenti diversi di accedere a parti diverse dei dati nel file
  • Stessa visualizzazione delle informazioni in base al ruolo dell'utente.
  • I privilegi analitici vengono utilizzati nel database SAP HANA per fornire dati a livello di riga
Il controllo per la visualizzazione dei dati da parte dei singoli utenti è nella stessa visualizzazione.
Privilegi del pacchetto I privilegi pacchetto vengono utilizzati per fornire l'autorizzazione per le azioni sui singoli pacchetti nel repository SAP HANA.
Privilegi dell'applicazione I privilegi dell'applicazione sono richiesti in In SAP HANA Extended Application Services (SAP HANA XS) per l'accesso all'applicazione. I privilegi dell'applicazione vengono concessi e revocati tramite le procedureGRANT_APPLICATION_PRIVILEGE e REVOKE_APPLICATION_PRIVILEGE nello schema _SYS_REPO.
Privilegi sull'utente È un privilegio SQL, che può essere concesso dall'utente sul proprio utente. ATTACH DEBUGGER è l'unico privilegio che può essere concesso a un utente.

Amministrazione utenti e gestione dei ruoli SAP HANA

Per accedere al database SAP HANA, sono necessari gli utenti. A seconda della diversa politica di sicurezza, ci sono due tipi di utente in SAP HANA come di seguito:

  1. Tecnica per l'utente (DBA Utente) - Si tratta di un utente che direttamente il lavoro con il database SAP HANA con i privilegi necessari. Normalmente, questi utenti non vengono eliminati dal database.

    Questi utenti vengono creati per un'attività amministrativa come la creazione di un oggetto e la concessione di privilegi sull'oggetto database o sull'applicazione.

    Il sistema di database SAP HANA fornisce il seguente utente per impostazione predefinita come utente standard-

  • SISTEMA
  • SYS
  • _SYS_REPO
  1. Database o utente reale: ogni utente che desidera lavorare sul database SAP HANA necessita di un utente del database. Gli utenti del database sono una persona reale che lavora su SAP HANA.

    Esistono due tipi di utenti del database come di seguito:

Tipologia di utente Descrizione Ruolo assegnato
Utente standard Questo utente può creare oggetti in un proprio schema e leggere i dati nelle viste di sistema. Utente standard creato con l'istruzione "CREATE USER". Il ruolo PUBLIC è assegnato per le viste di sistema di lettura.
Utente con restrizioni L'utente con restrizioni non dispone dell'accesso completo a SQL tramite una console SQL e viene creato con l'istruzione "CREATE RESTRICTED USER". Se i privilegi sono necessari per l'utilizzo di qualsiasi applicazione, vengono forniti tramite il ruolo.
  • L'utente con restrizioni non può creare oggetti di database.
  • L'utente con restrizioni non può visualizzare i dati nel database.
  • L'utente con restrizioni si connette al database solo tramite HTTP.
  • L'accesso ODBC / JDBC per la connessione client deve essere abilitato con l'istruzione SQL.
 Ruolo RESTRICTED_USER_ODBC_ACCESS o RESTRICTED_USER_JDBC_ACCESS richiesto all'utente per l'accesso completo alla funzionalità ODBC / JDBC

L'amministratore utente SAP HANA ha accesso alle seguenti attività:

  1. Crea / elimina utente.
  2. Definisci e crea un ruolo.
  3. Concedi il ruolo all'utente.
  4. Reimpostazione della password utente.
  5. Riattivare / disattivare l'utente in base alle esigenze.
  1. Crea utente in SAP HANA: l' utente del database solo con privilegi di ROLE ADMIN può creare utente e ruolo in SAP HANA.

    Passaggio 1) Per creare un nuovo utente in SAP HANA Studio, vai alla scheda sicurezza come mostrato di seguito e segui i passaggi seguenti;

    1. Vai al nodo di sicurezza.
    2. Seleziona Utenti (clic destro) -> Nuovo utente.

    Passaggio 2) Viene visualizzata una schermata di creazione dell'utente.

    1. Inserire username.
    2. Immettere la password per l'utente.
    3. Questi sono meccanismi di autenticazione, per impostazione predefinita vengono utilizzati nome utente / password per l'autenticazione.

Facendo clic sul pulsante di distribuzione verrà creato l'utente.

2. Definisci e crea ruolo

Un ruolo è una raccolta di privilegi che possono essere concessi ad altri utenti o ruoli. Il ruolo include i privilegi per l'oggetto database e l'applicazione e a seconda della natura del lavoro.

È un meccanismo standard per concedere privilegi. I privilegi possono essere concessi direttamente all'utente. Esistono molti ruoli standard (ad esempio MODELLAZIONE, MONITORAGGIO, ecc.) Disponibili nel database SAP HANA.

Possiamo utilizzare il ruolo standard come modello per creare un ruolo personalizzato.

Un ruolo può contenere i seguenti privilegi:

  • Privilegi di sistema per attività amministrative e di sviluppo (LETTURA CATALOGO, AMMINISTRAZIONE AUDIT, ecc.)
  • Privilegi oggetto per oggetti di database (SELECT, INSERT, DELETE, ecc.)
  • Privilegi analitici per la visualizzazione delle informazioni di SAP HANA
  • Privilegi dei pacchetti sui pacchetti del repository (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, ecc.)
  • Privilegi delle applicazioni per le applicazioni SAP HANA XS.
  • Privilegi dell'utente (per il debug della procedura).

Creazione del ruolo

Passaggio 1) In questo passaggio,

  1. Vai al nodo Sicurezza nel sistema SAP HANA.
  2. Selezionare Nodo ruolo (clic destro) e selezionare Nuovo ruolo.

Passaggio 2) Viene visualizzata una schermata di creazione del ruolo.

  1. Assegna il nome del ruolo in Nuovo blocco ruolo.
  2. Selezionare la scheda Ruolo concesso e fare clic sull'icona "+" per aggiungere un ruolo standard o uscire dal ruolo.
  3. Seleziona il ruolo desiderato (es. MODELLAZIONE, MONITORAGGIO, ecc.)

FASE 3) In questa fase,

  1. Il ruolo selezionato viene aggiunto nella scheda Ruoli concessi.
  2. I privilegi possono essere assegnati direttamente all'utente selezionando Privilegi di sistema, Privilegi oggetto, Privilegi analitici, Privilegi pacchetto, ecc.
  3. Fare clic sull'icona di distribuzione per creare il ruolo.

Spunta l'opzione "Grantable ad altri utenti e ruoli", se desideri assegnare questo ruolo ad altri utenti e ruoli.

3. Concedi ruolo all'utente

PASSAGGIO 1) In questo passaggio, assegneremo il ruolo "MODELLING_VIEW" a un altro utente "ABHI_TEST".

  1. Vai al sottonodo Utente sotto il nodo Sicurezza e fai doppio clic su di esso. Verrà visualizzata la finestra utente.
  2. Fare clic sull'icona Ruoli concessi "+".
  3. Apparirà un pop-up, Cerca il nome del ruolo che verrà assegnato all'utente.

PASSAGGIO 2) In questo passaggio, il ruolo "MODELLING_VIEW" verrà aggiunto in Ruolo.

FASE 3) In questa fase,

  1. Fare clic sul pulsante Distribuisci.
  2. Viene visualizzato un messaggio "ABHI_TEST utente" modificato.

4. Reimpostazione della password utente

Se è necessario reimpostare la password utente, andare al sottonodo Utente sotto Nodo Sicurezza e fare doppio clic su di esso. Verrà visualizzata la finestra utente.

FASE 1) In questa fase,

  1. Inserire una nuova password.
  2. Immettere Conferma password.

FASE 2) In questa fase,

  1. Fare clic sul pulsante Distribuisci.
  2. Viene visualizzato un messaggio "User 'ABHI_TEST" modificato.

5. Riattiva / Disattiva utente

Vai al sottonodo Utente sotto il nodo Sicurezza e fai doppio clic su di esso. Verrà visualizzata la finestra utente.

È presente l'icona Disattiva utente. Cliccaci sopra

Apparirà un messaggio di conferma "Popup". Fare clic sul pulsante "Sì".

Verrà visualizzato un messaggio "Utente 'ABHI_TEST' disattivato". L'icona Disattiva cambia con il nome "Attiva utente". Ora possiamo attivare l'utente dalla stessa icona.

Gestione delle licenze SAP HANA

La chiave di licenza è necessaria per utilizzare il database SAP HANA. Una chiave di licenza può essere installata ed eliminata utilizzando SAP HANA Studio, lo strumento della riga di comando SAP HANA HDBSQL e l'editor di query SQL di HANA.

Il database SAP HANA supporta due tipi di chiave di licenza:

  • Chiave di licenza permanente : le chiavi di licenza permanenti sono valide fino alla data di scadenza. Dobbiamo richiedere e applicare la chiave di licenza prima della scadenza. Se la chiave di licenza scade, la chiave di licenza temporanea viene installata automaticamente per 28 giorni.
  • Chiave di licenza temporanea: viene installata automaticamente con una nuova installazione del database SAP HANA. È valido per 90 giorni e successivamente può richiedere la chiave permanente da SAP.

Autorizzazione alla gestione delle licenze

I privilegi "AMMINISTRATORE DELLA LICENZA" sono necessari per la gestione delle licenze.

Auditing SAP HANA

Le funzionalità di controllo SAP HANA consentono di monitorare e registrare l'azione eseguita nel sistema SAP HANA. Questa funzionalità deve essere attivata per il sistema prima di creare criteri di controllo.

Autorizzazione per il controllo SAP HANA

Privilegi di sistema "AUDIT ADMIN" richiesti per il controllo SAP HANA.

Riepilogo :

In questo tutorial, abbiamo imparato il seguente argomento:

  • Panoramica sulla sicurezza di SAP HANA.
  • Autenticazione SAP HANA in dettaglio.
  • Autorizzazione SAP HANA in dettaglio.
  • Metodo di amministrazione utenti SAP HANA.
  • Metodo di amministrazione dei ruoli SAP HANA
  • Processo di gestione delle licenze SAP HANA.
  • Processo di controllo dei ruoli SAP HANA.