SAP HANA安全性:完整教程

2020-08-31 14:12发布


          点击此处--->   EasySAP.com 群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)

什么是Sap Hana Security?

SAP HANA安全保护重要数据免受未经授权的访问,并确保标准和合规性符合公司采用的安全标准。

SAP HANA提供了一种功能,即多租户数据库,可以在单个SAP HANA系统上创建多个数据库。它被称为多租户数据库容器。因此,SAP HANA为所有多租户数据库容器提供了所有与安全相关的功能。


SAP HANA提供以下与安全性相关的功能–

  • 用户和角色管理

  • 授权书

  • 认证方式

  • 持久层中的数据加密

  • 网络层中的数据加密

SAP HANA用户和角色

SAP HANA用户和角色管理配置取决于以下架构–

  1. 3层架构。

    SAP HANA可用作3层体系结构中的关系数据库。

    在此体系结构中,安全功能(授权,身份验证,加密和审核)安装在应用程序服务器层上。

    SAP应用程序(ERP,BW等)仅在技术用户或数据库管理员(基础人员)的帮助下连接到数据库。最终用户无法直接访问数据库或数据库服务器。

SAP HANA安全性:完整教程

  1. 2层架构。

    SAP HANA扩展应用程序服务(SAP HANA XS)基于2层体系结构,其中应用程序服务器,Web服务器和开发环境嵌入在单个系统中。

SAP HANA安全性:完整教程

SAP HANA认证

数据库用户标识谁在访问SAP HANA数据库。通过名为“身份验证”的过程进行验证。SAP HANA支持许多身份验证方法。单点登录(SSO)用于集成多种身份验证方法。

SAP HANA支持以下身份验证方法-

  • Kerberos:可在以下情况下使用–

    • 直接从JDBC和ODBC客户端(SAP HANA Studio)。

    • 使用HTTP访问SAP HANA XS时。

  • 用户名密码

    当用户输入其数据库用户名和密码时,SAP HANA数据库将对用户进行身份验证。

  • 安全声明标记语言(SAML)

    SAML可用于验证直接通过ODBC / JDBC访问SAP HANA数据库的SAP HANA用户。这是将外部用户身份映射到内部数据库用户的过程,因此用户可以使用外部用户ID登录sap数据库。

  • SAP登录和声明票证

    可以通过登录票证或断言票证对用户进行身份验证,该票证已被配置并颁发给用户以创建票证。

  • X.509客户证书

    通过HTTP进行SAP HANA XS访问时,可以使用由受信任的证书颁发机构(CA)签名的客户端证书来对用户进行身份验证。

SAP HANA授权

当用户使用客户端界面(JDBC,ODBC或HTTP)访问SAP HANA数据库时,需要SAP HANA授权。

根据提供给用户的授权,它可以对数据库对象执行数据库操作。该授权称为“特权”。

特权可以直接或间接(通过角色)授予用户。分配给用户的所有特权将合并为一个单元。

当用户尝试访问任何SAP HANA数据库对象时,HANA系统将通过用户角色对该用户执行授权检查,并直接授予特权。

找到请求的特权后,HANA系统将跳过进一步的检查,并授予对请求数据库对象的访问权限。

在SAP HANA中,以下特权是它们的-

特权类型描述
系统特权它控制正常的系统活动。

系统特权主要用于–

  • 在SAP HANA数据库中创建和删除架构

  • 在SAP HANA数据库中管理用户和角色

  • 监视和跟踪SAP HANA数据库

  • 执行数据备份

  • 管理许可证

  • 管理版本

  • 管理审计

  • 导入和导出内容

  • 维护交货单位

对象特权对象特权是SQL特权,用于授予读取和修改数据库对象的权限。要访问数据库对象,用户需要具有数据库对象或数据库对象所在的模式的对象特权。可以将对象特权授予目录对象(表,视图等)或非目录对象(开发对象)。对象权限如下:

  • 创建任何

  • 更新,插入,选择,删除,删除,更改,执行

  • 索引,触发器,调试,参考

分析特权分析特权用于允许对SAP HANA信息模型的数据(属性视图,分析视图,计算视图)进行读取访问。

  • 在查询处理期间评估此特权。

  • Analytic Privileges授予对用户不同部分数据的不同访问权限

  • 基于用户角色的相同信息视图。

  • SAP HANA数据库中使用分析特权来提供行级数据

单个用户可以在同一视图中查看数据的控件。
套餐优惠程序包特权用于为SAP HANA存储库中的各个程序包的操作提供授权。
申请特权SAP HANA扩展应用程序服务(SAP HANA XS)中需要访问权限的应用程序特权。

通过_SYS_REPO模式中的GRANT_APPLICATION_PRIVILEGE和REVOKE_APPLICATION_PRIVILEGE过程来授予和撤销应用程序特权。
用户特权它是一种SQL特权,可以由用户在自己的用户上授予。

ATTACH DEBUGGER是可以授予用户的唯一特权。

SAP HANA用户管理和角色管理

要访问SAP HANA数据库,需要用户。根据不同的安全策略,SAP HANA中有两种类型的用户,如下所示–

  1. 用户技术(DBA用户) - 是用户谁与必要的权限SAP HANA数据库直接工作。通常,这些用户不会从数据库中删除。

    这些用户是为执行管理任务而创建的,例如创建对象并授予对数据库对象或应用程序的特权。

    SAP HANA数据库系统默认提供以下用户作为标准用户–

  • 系统

  • 系统

  • _SYS_REPO

  1. 数据库或实际用户:每个要使用SAP HANA数据库的用户都需要一个数据库用户。数据库用户是在SAP HANA上工作的真实人。

    以下是两种类型的数据库用户:

用户类型描述角色分配
标准用户该用户可以在自己的架构中创建对象,并在系统视图中读取数据。使用“ CREATE USER”语句创建的标准用户。为读取的系统视图分配了PUBLIC角色。
受限用户受限用户没有通过SQL控制台进行的完全SQL访问,而是使用“ CREATE RESTRICTED USER”语句创建的。如果使用任何应用程序都需要特权,那么将通过角色提供特权。

  • 受限用户无法创建数据库对象。

  • 受限用户无法查看数据库中的数据。

  • 受限用户仅通过HTTP连接到数据库。

  • 必须使用SQL语句启用对客户端连接的ODBC / JDBC访问。

用户需要RESTRICTED_USER_ODBC_ACCESS或RESTRICTED_USER_JDBC_ACCESS角色才能完全访问ODBC / JDBC功能

SAP HANA用户管理员有权访问以下活动–

  1. 创建/删除用户。

  2. 定义和创建角色。

  3. 向用户授予角色。

  4. 重置用户密码。

  5. 根据要求重新激活/取消激活用户。

  1. 在SAP HANA中创建用户只有具有ROLE ADMIN特权的数据库用户才能在SAP HANA中创建用户和角色。

    步骤1)要在SAP HANA Studio中创建新用户,请转到安全标签,如下所示,并执行以下步骤:

    SAP HANA安全性:完整教程

    步骤2)出现用户创建屏幕。

    1. 输入用户名。

    2. 输入用户密码。

    3. 这些是身份验证机制,默认情况下,用户名/密码用于身份验证。

    4. 进入安全节点。

    5. 选择用户(右键单击)->新用户。

SAP HANA安全性:完整教程

通过单击部署SAP HANA安全性:完整教程按钮,将创建用户。

2.定义和创建角色

角色是可以授予其他用户或角色的特权的集合。该角色包括数据库对象和应用程序的特权,并取决于作业的性质。

这是授予特权的标准机制。特权可以直接授予用户。SAP HANA数据库中有许多标准角色(例如,MODELLING,MONITORING等)。

我们可以将标准角色用作创建自定义角色的模板。

角色可以包含以下特权–

  • 用于管理和开发任务(CATALOG READ,AUDIT ADMIN等)的系统特权

  • 数据库对象的对象特权(SELECT,INSERT,DELETE等)

  • SAP HANA信息视图的分析特权

  • 存储库软件包的软件包特权(REPO.READ,REPO.EDIT_NATIVE_OBJECTS等)

  • SAP HANA XS应用程序的应用程序特权。

  • 用户的特权(用于程序调试)。

角色创建

步骤1)在这一步中,

  1. 转到SAP HANA系统中的“安全性”节点。

  2. 选择角色节点(右键单击),然后选择新建角色。

SAP HANA安全性:完整教程

步骤2)显示角色创建屏幕。

SAP HANA安全性:完整教程

  1. 在“新角色块”下输入角色名称。

  2. 选择“授予的角色”选项卡,然后单击“ +”图标以添加标准角色或退出角色。

  3. 选择所需角色(例如,MODELLING,MONITORING等)

步骤3)在这一步中,

  1. 所选角色将添加到“授予的角色”选项卡中。

  2. 可以通过选择系统特权,对象特权,分析特权,程序包特权等将特权直接分配给用户。

  3. 单击部署图标以创建角色。

SAP HANA安全性:完整教程

如果您想将此角色分配给其他用户和角色,请勾选“授予其他用户和角色”选项。

3.授予用户角色

步骤1)在这一步中,我们将角色“ MODELLING_VIEW”分配给另一个用户“ ABHI_TEST”。

  1. 转到“安全性”节点下的“用户”子节点,然后双击它。将显示用户窗口。

  2. 单击授予角色“ +”图标。

  3. 将出现一个弹出窗口,搜索角色名称将分配给用户。

SAP HANA安全性:完整教程

步骤2)在此步骤中,将在“角色”下添加角色“ MODELLING_VIEW”。

SAP HANA安全性:完整教程

步骤3)在这一步中,

  1. 单击部署按钮。

  2. 显示一条消息“ User'ABHI_TEST”已更改。

SAP HANA安全性:完整教程

4.重置用户密码

如果需要重置用户密码,请转到“安全性”节点下的“用户”子节点,然后双击它。将显示用户窗口。

步骤1)在这一步中,

  1. 输入新密码。

  2. 输入确认密码。

SAP HANA安全性:完整教程

步骤2)在这一步中,

  1. 单击部署按钮。

  2. 显示一条消息“ User'ABHI_TEST”已更改。

SAP HANA安全性:完整教程

5.重新激活/取消激活用户

转到“安全性”节点下的“用户”子节点,然后双击它。将显示用户窗口。

有停用用户图标。点击它

SAP HANA安全性:完整教程

出现确认信息“弹出”。点击“是”按钮。

SAP HANA安全性:完整教程

将显示一条消息“用户'ABHI_TEST'已停用”。停用图标的名称更改为“激活用户”。现在,我们可以从同一图标激活用户。

SAP HANA许可证管理

使用SAP HANA数据库需要许可证密钥。可以使用SAP HANA Studio,SAP HANA HDBSQL命令行工具和HANA SQL查询编辑器来安装和删除许可证密钥。

SAP HANA数据库支持两种类型的许可证密钥–

  • 永久许可证密钥:永久许可证密钥有效期至到期日。我们需要在过期之前请求并应用许可证密钥。如果许可证密钥过期,则会在28天之内自动安装临时许可证密钥。

  • 临时许可证密钥:随新的SAP HANA数据库安装一起自动安装。 有效期为90天,以后可以从SAP申请永久密钥。

授权管理

许可证管理 需要“ LICENSE ADMIN”特权

SAP HANA审核

SAP HANA审核功能使您可以监视和记录在SAP HANA系统中执行的操作。在创建审核策略之前,应为系统激活此功能。

SAP HANA审核授权

SAP HANA审核需要“ AUDIT ADMIN”系统特权。

总结

在本教程中,我们学习了以下主题-

  • SAP HANA安全性概述。

  • SAP HANA身份验证的详细信息。

  • SAP HANA授权的详细信息。

  • SAP HANA用户管理方法。

  • SAP HANA角色管理方法

  • SAP HANA许可证管理流程。

  • SAP HANA角色审核流程。


赞赏支持