SAP HANA Security: Vollständiges Tutorial

Inhaltsverzeichnis:

Anonim
Was ist Sap Hana Sicherheit?

SAP HANA Security schützt wichtige Daten vor unbefugtem Zugriff und stellt sicher, dass die Standards und die Konformität den vom Unternehmen festgelegten Sicherheitsstandards entsprechen.

SAP HANA bietet eine Funktion, dh eine Datenbank mit mehreren Mandanten, in der mehrere Datenbanken auf einem einzigen SAP HANA-System erstellt werden können. Es ist als mandantenfähiger Datenbankcontainer bekannt. Daher bietet SAP HANA alle sicherheitsrelevanten Funktionen für alle Datenbankcontainer mit mehreren Mandanten.

SAP HANA Bietet folgende sicherheitsrelevante Funktion:

  • Benutzer- und Rollenverwaltung
  • Genehmigung
  • Authentifizierung
  • Verschlüsselung von Daten in der Persistenzschicht
  • Verschlüsselung von Daten in der Netzwerkschicht

SAP HANA Benutzer und Rolle

Die Konfiguration des SAP HANA-Benutzer- und Rollenmanagements hängt von der folgenden Architektur ab:

  1. 3-Tier-Architektur.

    SAP HANA kann als relationale Datenbank in einer dreistufigen Architektur verwendet werden.

    In dieser Architektur werden Sicherheitsfunktionen (Autorisierung, Authentifizierung, Verschlüsselung und Überwachung) auf Anwendungsserverebenen installiert.

    Die SAP-Anwendung (ERP, BW usw.) stellt nur mit Hilfe eines technischen Benutzers oder Datenbankadministrators (Basis Person) eine Verbindung zur Datenbank her. Der Endbenutzer kann nicht direkt auf die Datenbank oder den Datenbankserver zugreifen.

  1. 2-Tier-Architektur.

    SAP HANA Extended Application Services (SAP HANA XS) basiert auf einer 2-Ebenen-Architektur, bei der Anwendungsserver, Webserver und Entwicklungsumgebung in ein einziges System eingebettet sind.

SAP-HANA-Authentifizierung

Der Datenbankbenutzer gibt an, wer auf die SAP-HANA-Datenbank zugreift. Die Überprüfung erfolgt durch einen Prozess mit dem Namen "Authentifizierung". SAP HANA unterstützt viele Authentifizierungsmethoden. Single Sign-On (SSO) werden verwendet, um mehrere Authentifizierungsmethoden zu integrieren.

SAP HANA unterstützt folgende Authentifizierungsmethode:

  • Kerberos: Es kann im folgenden Fall verwendet werden -
    • Direkt vom JDBC- und ODBC-Client (SAP HANA Studio).
    • Wenn HTTP für den Zugriff auf SAP HANA XS verwendet wird.
  • Benutzername Passwort

    Wenn der Benutzer seinen Datenbankbenutzernamen und sein Kennwort eingibt, authentifiziert die SAP HANA-Datenbank den Benutzer.

  • Security Assertion Markup Language (SAML)

    Mit SAML kann der SAP-HANA-Benutzer authentifiziert werden, der direkt über ODBC / JDBC auf die SAP-HANA-Datenbank zugreift. Bei diesem Vorgang wird die externe Benutzeridentität dem internen Datenbankbenutzer zugeordnet, sodass sich der Benutzer mit der externen Benutzer-ID in der SAP-Datenbank anmelden kann.

  • SAP Logon and Assertion Tickets

    Der Benutzer kann durch Anmelde- oder Bestätigungstickets authentifiziert werden, die konfiguriert und dem Benutzer zum Erstellen eines Tickets ausgestellt werden.

  • X.509-Client-Zertifikate

    Beim SAP HANA XS-Zugriff über HTTP können Client-Zertifikate, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurden, zur Authentifizierung des Benutzers verwendet werden.

SAP-HANA-Autorisierung

Die SAP-HANA-Autorisierung ist erforderlich, wenn ein Benutzer über die Clientschnittstelle (JDBC, ODBC oder HTTP) auf die SAP-HANA-Datenbank zugreift.

Abhängig von der dem Benutzer erteilten Berechtigung kann er Datenbankoperationen für das Datenbankobjekt ausführen. Diese Berechtigung wird als "Berechtigungen" bezeichnet.

Die Berechtigungen können dem Benutzer direkt oder indirekt (über Rollen) gewährt werden. Alle den Benutzern zugewiesenen Berechtigungen werden als eine Einheit zusammengefasst.

Wenn ein Benutzer versucht, auf ein SAP-HANA-Datenbankobjekt zuzugreifen, führt HANA System eine Berechtigungsprüfung für den Benutzer über Benutzerrollen durch und gewährt die Berechtigungen direkt.

Wenn angeforderte Berechtigungen gefunden werden, überspringt das HANA-System weitere Überprüfungen und gewährt Zugriff auf angeforderte Datenbankobjekte.

In SAP HANA sind folgende Berechtigungen ihre -

Berechtigungstypen Beschreibung
Systemberechtigungen Es steuert die normale Systemaktivität. Systemberechtigungen werden hauptsächlich verwendet für -
  • Erstellen und Löschen eines Schemas in der SAP-HANA-Datenbank
  • Benutzer und Rolle in der SAP HANA-Datenbank verwalten
  • Überwachung und Rückverfolgung der SAP-HANA-Datenbank
  • Durchführen von Datensicherungen
  • Lizenz verwalten
  • Version verwalten
  • Audit verwalten
  • Importieren und Exportieren von Inhalten
  • Liefereinheiten warten
Objektberechtigungen Objektberechtigungen sind SQL-Berechtigungen, mit denen die Berechtigung zum Lesen und Ändern von Datenbankobjekten erteilt wird. Für den Zugriff auf Datenbankobjekte benötigt der Benutzer Objektberechtigungen für Datenbankobjekte oder für das Schema, in dem das Datenbankobjekt vorhanden ist. Objektberechtigungen können Katalogobjekten (Tabelle, Ansicht usw.) oder Nichtkatalogobjekten (Entwicklungsobjekten) gewährt werden. Objektberechtigungen sind wie folgt:
  • JEDE ERSTELLEN
  • UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE
  • INDEX, TRIGGER, DEBUG, REFERENZEN
Analyseberechtigungen Analytische Berechtigungen werden verwendet, um Lesezugriff auf Daten des SAP-HANA-Informationsmodells (Attributansicht, analytische Ansicht, Berechnungsansicht) zu ermöglichen.
  • Dieses Privileg wird während der Abfrageverarbeitung ausgewertet.
  • Analytic Privileges gewährt unterschiedlichen Benutzern Zugriff auf verschiedene Teile der Daten in der
  • Gleiche Informationsansicht basierend auf der Benutzerrolle.
  • In der SAP-HANA-Datenbank werden Analyseberechtigungen verwendet, um Daten auf Zeilenebene bereitzustellen
Die Steuerung für einzelne Benutzer zum Anzeigen der Daten befindet sich in derselben Ansicht.
Paketberechtigungen Paketberechtigungen werden verwendet, um die Berechtigung für Aktionen für einzelne Pakete im SAP HANA Repository bereitzustellen.
Anwendungsberechtigungen Anwendungsberechtigungen sind in SAP HANA Extended Application Services (SAP HANA XS) für den Zugriff auf Anwendungen erforderlich. Anwendungsberechtigungen werden über die Prozeduren procedureGRANT_APPLICATION_PRIVILEGE und REVOKE_APPLICATION_PRIVILEGE im Schema _SYS_REPO gewährt und widerrufen.
Berechtigungen für Benutzer Es handelt sich um eine SQL-Berechtigung, die der Benutzer dem eigenen Benutzer gewähren kann. ATTACH DEBUGGER ist das einzige Privileg, das einem Benutzer gewährt werden kann.

SAP HANA Benutzerverwaltung und Rollenverwaltung

Für den Zugriff auf die SAP HANA-Datenbank sind Benutzer erforderlich. Abhängig von den unterschiedlichen Sicherheitsrichtlinien gibt es in SAP HANA zwei Benutzertypen:

  1. Technischer Benutzer (DBA-Benutzer) - Dies ist ein Benutzer, der direkt mit der SAP-HANA-Datenbank mit den erforderlichen Berechtigungen arbeitet. Normalerweise werden diese Benutzer nicht aus der Datenbank gelöscht.

    Diese Benutzer werden für eine Verwaltungsaufgabe erstellt, z. B. zum Erstellen eines Objekts und zum Erteilen von Berechtigungen für Datenbankobjekte oder für die Anwendung.

    Das SAP-HANA-Datenbanksystem bietet standardmäßig folgenden Benutzer als Standardbenutzer:

  • SYSTEM
  • SYS
  • _SYS_REPO
  1. Datenbank oder realer Benutzer: Jeder Benutzer, der an einer SAP-HANA-Datenbank arbeiten möchte, benötigt einen Datenbankbenutzer. Datenbankbenutzer sind eine reale Person, die an SAP HANA arbeitet.

    Es gibt zwei Arten von Datenbankbenutzern:

Benutzertyp Beschreibung Zugewiesene Rolle
Standardbenutzer Dieser Benutzer kann Objekte in einem eigenen Schema erstellen und Daten in Systemansichten lesen. Standardbenutzer erstellt mit der Anweisung "CREATE USER". Die PUBLIC-Rolle wird für gelesene Systemansichten zugewiesen.
Eingeschränkter Benutzer Eingeschränkter Benutzer hat keinen vollständigen SQL-Zugriff über eine SQL-Konsole und wurde mit der Anweisung "CREATE RESTRICTED USER" erstellt. Wenn für die Verwendung einer Anwendung Berechtigungen erforderlich sind, werden diese über die Rolle bereitgestellt.
  • Eingeschränkter Benutzer kann keine Datenbankobjekte erstellen.
  • Eingeschränkter Benutzer kann keine Daten in der Datenbank anzeigen.
  • Eingeschränkter Benutzer stellt nur über HTTP eine Verbindung zur Datenbank her.
  • Der ODBC / JDBC-Zugriff für die Clientverbindung muss mit der SQL-Anweisung aktiviert werden.
 Die Rolle RESTRICTED_USER_ODBC_ACCESS oder RESTRICTED_USER_JDBC_ACCESS ist für den Benutzer für den vollständigen Zugriff auf die ODBC / JDBC-Funktionalität erforderlich

SAP HANA User Administrator hat Zugriff auf die folgende Aktivität:

  1. Benutzer erstellen / löschen.
  2. Rolle definieren und erstellen.
  3. Gewähren Sie dem Benutzer eine Rolle.
  4. Benutzerpasswort zurücksetzen.
  5. Benutzer je nach Anforderung erneut aktivieren / deaktivieren.
  1. Benutzer in SAP HANA erstellen - Nur Datenbankbenutzer mit ROLE ADMIN-Berechtigungen können Benutzer und Rollen in SAP HANA erstellen.

    Schritt 1) Um einen neuen Benutzer in SAP HANA Studio zu erstellen, wechseln Sie wie unten gezeigt zur Registerkarte Sicherheit und führen Sie die folgenden Schritte aus.

    1. Gehen Sie zum Sicherheitsknoten.
    2. Wählen Sie Benutzer (Rechtsklick) -> Neuer Benutzer.

    Schritt 2) Ein Bildschirm zur Benutzererstellung wird angezeigt.

    1. Geben Sie den Benutzernamen ein.
    2. Geben Sie das Passwort für den Benutzer ein.
    3. Hierbei handelt es sich um Authentifizierungsmechanismen. Standardmäßig wird Benutzername / Kennwort zur Authentifizierung verwendet.

Durch Klicken auf die Bereitstellungsschaltfläche wird ein Benutzer erstellt.

2. Rolle definieren und erstellen

Eine Rolle ist eine Sammlung von Berechtigungen, die anderen Benutzern oder Rollen gewährt werden können. Die Rolle enthält Berechtigungen für Datenbankobjekte und -anwendungen und hängt von der Art des Jobs ab.

Es ist ein Standardmechanismus zum Gewähren von Berechtigungen. Berechtigungen können dem Benutzer direkt gewährt werden. In der SAP-HANA-Datenbank sind viele Standardrollen (z. B. MODELLIERUNG, ÜBERWACHUNG usw.) verfügbar.

Wir können die Standardrolle als Vorlage zum Erstellen einer benutzerdefinierten Rolle verwenden.

Eine Rolle kann folgende Berechtigungen enthalten:

  • Systemberechtigungen für Verwaltungs- und Entwicklungsaufgaben (KATALOG LESEN, PRÜFEN ADMIN usw.)
  • Objektberechtigungen für Datenbankobjekte (SELECT, INSERT, DELETE usw.)
  • Analyseberechtigungen für SAP HANA Information View
  • Paketberechtigungen für Repository-Pakete (REPO.READ, REPO.EDIT_NATIVE_OBJECTS usw.)
  • Anwendungsberechtigungen für SAP HANA XS-Anwendungen.
  • Berechtigungen für den Benutzer (zum Debuggen der Prozedur).

Rollenerstellung

Schritt 1) In diesem Schritt

  1. Wechseln Sie im SAP-HANA-System zum Knoten Sicherheit.
  2. Wählen Sie Rollenknoten (Rechtsklick) und dann Neue Rolle.

Schritt 2) Ein Bildschirm zum Erstellen von Rollen wird angezeigt.

  1. Geben Sie unter Neuer Rollenblock den Rollennamen ein.
  2. Wählen Sie die Registerkarte Erteilte Rolle und klicken Sie auf das Symbol "+", um die Standardrolle hinzuzufügen oder die Rolle zu beenden.
  3. Wählen Sie die gewünschte Rolle (z. B. MODELLIERUNG, ÜBERWACHUNG usw.).

SCHRITT 3) In diesem Schritt

  1. Die ausgewählte Rolle wird auf der Registerkarte "Gewährte Rollen" hinzugefügt.
  2. Berechtigungen können dem Benutzer direkt zugewiesen werden, indem Systemberechtigungen, Objektberechtigungen, Analyseberechtigungen, Paketberechtigungen usw. ausgewählt werden.
  3. Klicken Sie auf das Bereitstellungssymbol, um eine Rolle zu erstellen.

Aktivieren Sie die Option "Anderen Benutzern und Rollen gewährt", wenn Sie diese Rolle einem anderen Benutzer und einer anderen Rolle zuweisen möchten.

3. Gewähren Sie dem Benutzer eine Rolle

SCHRITT 1) In diesem Schritt weisen wir einem anderen Benutzer "ABHI_TEST" die Rolle "MODELLING_VIEW" zu.

  1. Gehen Sie unter Sicherheitsknoten zum Unterknoten Benutzer und doppelklicken Sie darauf. Das Benutzerfenster wird angezeigt.
  2. Klicken Sie auf das Symbol "Gewährte Rollen" + ".
  3. Es erscheint ein Popup mit dem Namen der Suchrolle, das dem Benutzer zugewiesen wird.

SCHRITT 2) In diesem Schritt wird unter Rolle die Rolle "MODELLING_VIEW" hinzugefügt.

SCHRITT 3) In diesem Schritt

  1. Klicken Sie auf die Schaltfläche Bereitstellen.
  2. Eine Meldung "Benutzer 'ABHI_TEST" geändert wird angezeigt.

4. Zurücksetzen des Benutzerkennworts

Wenn das Benutzerkennwort zurückgesetzt werden muss, gehen Sie zum Unterknoten Benutzer unter Sicherheitsknoten und doppelklicken Sie darauf. Das Benutzerfenster wird angezeigt.

SCHRITT 1) In diesem Schritt

  1. Neues Passwort eingeben.
  2. Geben Sie Passwort bestätigen ein.

SCHRITT 2) In diesem Schritt

  1. Klicken Sie auf die Schaltfläche Bereitstellen.
  2. Eine Meldung "Benutzer 'ABHI_TEST" geändert wird angezeigt.

5. Benutzer erneut aktivieren / deaktivieren

Gehen Sie unter Sicherheitsknoten zum Unterknoten Benutzer und doppelklicken Sie darauf. Das Benutzerfenster wird angezeigt.

Es gibt das Symbol Benutzer deaktivieren. Klick es an

Eine Bestätigungsmeldung "Popup" wird angezeigt. Klicken Sie auf die Schaltfläche "Ja".

Eine Meldung "Benutzer 'ABHI_TEST' deaktiviert" wird angezeigt. Das Symbol zum Deaktivieren ändert sich mit dem Namen "Benutzer aktivieren". Jetzt können wir den Benutzer über dasselbe Symbol aktivieren.

SAP HANA License Management

Der Lizenzschlüssel ist erforderlich, um die SAP-HANA-Datenbank zu verwenden. Ein Lizenzschlüssel kann mit SAP HANA Studio, dem SAP HANA HDBSQL-Befehlszeilentool und dem HANA SQL Query-Editor installiert und gelöscht werden.

Die SAP HANA-Datenbank unterstützt zwei Arten von Lizenzschlüsseln:

  • Permanenter Lizenzschlüssel : Permanente Lizenzschlüssel sind bis zum Ablaufdatum gültig. Wir müssen den Lizenzschlüssel vor Ablauf anfordern und anwenden. Wenn der Lizenzschlüssel abläuft, wird der temporäre Lizenzschlüssel automatisch für 28 Tage installiert.
  • Temporärer Lizenzschlüssel: Dieser wird automatisch mit einer neuen Installation der SAP HANA-Datenbank installiert. Sie ist 90 Tage gültig und kann später bei SAP einen permanenten Schlüssel beantragen.

Autorisierung der Lizenzverwaltung

„LIZENZ ADMIN“ Privilegien für Lizenzmanagement erforderlich.

SAP HANA Auditing

Mit den SAP HANA-Überwachungsfunktionen können Sie Aktionen überwachen und aufzeichnen, die im SAP HANA-System ausgeführt werden. Diese Funktionen sollten für das System aktiviert werden, bevor Sie eine Überwachungsrichtlinie erstellen.

Autorisierung für SAP HANA Auditing

"AUDIT ADMIN" System - Privilegien , die für SAP - HANA - Revision.

Zusammenfassung :

In diesem Tutorial haben wir folgendes Thema gelernt:

  • SAP HANA Sicherheitsübersicht.
  • SAP HANA Authentifizierung im Detail.
  • SAP HANA Authorization im Detail.
  • SAP HANA User Administration-Methode.
  • SAP-HANA-Rollenverwaltungsmethode
  • SAP-HANA-Lizenzverwaltungsprozess.
  • SAP HANA Rollenprüfungsprozess.