点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
什么是Sap Hana Security?
SAP HANA安全保护重要数据免受未经授权的访问,并确保标准和合规性符合公司采用的安全标准。
SAP HANA提供了一种功能,即多租户数据库,可以在单个SAP HANA系统上创建多个数据库。它被称为多租户数据库容器。因此,SAP HANA为所有多租户数据库容器提供了所有与安全相关的功能。
SAP HANA提供以下与安全性相关的功能–
用户和角色管理
授权书
认证方式
持久层中的数据加密
网络层中的数据加密
SAP HANA用户和角色
SAP HANA用户和角色管理配置取决于以下架构–
3层架构。
SAP HANA可用作3层体系结构中的关系数据库。
在此体系结构中,安全功能(授权,身份验证,加密和审核)安装在应用程序服务器层上。
SAP应用程序(ERP,BW等)仅在技术用户或数据库管理员(基础人员)的帮助下连接到数据库。最终用户无法直接访问数据库或数据库服务器。
2层架构。
SAP HANA扩展应用程序服务(SAP HANA XS)基于2层体系结构,其中应用程序服务器,Web服务器和开发环境嵌入在单个系统中。
SAP HANA认证
数据库用户标识谁在访问SAP HANA数据库。通过名为“身份验证”的过程进行验证。SAP HANA支持许多身份验证方法。单点登录(SSO)用于集成多种身份验证方法。
SAP HANA支持以下身份验证方法-
Kerberos:可在以下情况下使用–
直接从JDBC和ODBC客户端(SAP HANA Studio)。
使用HTTP访问SAP HANA XS时。
用户名密码
当用户输入其数据库用户名和密码时,SAP HANA数据库将对用户进行身份验证。
安全声明标记语言(SAML)
SAML可用于验证直接通过ODBC / JDBC访问SAP HANA数据库的SAP HANA用户。这是将外部用户身份映射到内部数据库用户的过程,因此用户可以使用外部用户ID登录sap数据库。
SAP登录和声明票证
可以通过登录票证或断言票证对用户进行身份验证,该票证已被配置并颁发给用户以创建票证。
X.509客户证书
通过HTTP进行SAP HANA XS访问时,可以使用由受信任的证书颁发机构(CA)签名的客户端证书来对用户进行身份验证。
SAP HANA授权
当用户使用客户端界面(JDBC,ODBC或HTTP)访问SAP HANA数据库时,需要SAP HANA授权。
根据提供给用户的授权,它可以对数据库对象执行数据库操作。该授权称为“特权”。
特权可以直接或间接(通过角色)授予用户。分配给用户的所有特权将合并为一个单元。
当用户尝试访问任何SAP HANA数据库对象时,HANA系统将通过用户角色对该用户执行授权检查,并直接授予特权。
找到请求的特权后,HANA系统将跳过进一步的检查,并授予对请求数据库对象的访问权限。
在SAP HANA中,以下特权是它们的-
特权类型 | 描述 |
系统特权 | 它控制正常的系统活动。 系统特权主要用于–
|
对象特权 | 对象特权是SQL特权,用于授予读取和修改数据库对象的权限。要访问数据库对象,用户需要具有数据库对象或数据库对象所在的模式的对象特权。可以将对象特权授予目录对象(表,视图等)或非目录对象(开发对象)。对象权限如下:
|
分析特权 | 分析特权用于允许对SAP HANA信息模型的数据(属性视图,分析视图,计算视图)进行读取访问。
|
套餐优惠 | 程序包特权用于为SAP HANA存储库中的各个程序包的操作提供授权。 |
申请特权 | SAP HANA扩展应用程序服务(SAP HANA XS)中需要访问权限的应用程序特权。 通过_SYS_REPO模式中的GRANT_APPLICATION_PRIVILEGE和REVOKE_APPLICATION_PRIVILEGE过程来授予和撤销应用程序特权。 |
用户特权 | 它是一种SQL特权,可以由用户在自己的用户上授予。 ATTACH DEBUGGER是可以授予用户的唯一特权。 |
SAP HANA用户管理和角色管理
要访问SAP HANA数据库,需要用户。根据不同的安全策略,SAP HANA中有两种类型的用户,如下所示–
用户技术(DBA用户) -这 是用户谁与必要的权限SAP HANA数据库直接工作。通常,这些用户不会从数据库中删除。
这些用户是为执行管理任务而创建的,例如创建对象并授予对数据库对象或应用程序的特权。
SAP HANA数据库系统默认提供以下用户作为标准用户–
系统
系统
_SYS_REPO
数据库或实际用户:每个要使用SAP HANA数据库的用户都需要一个数据库用户。数据库用户是在SAP HANA上工作的真实人。
以下是两种类型的数据库用户:
用户类型 | 描述 | 角色分配 |
标准用户 | 该用户可以在自己的架构中创建对象,并在系统视图中读取数据。使用“ CREATE USER”语句创建的标准用户。 | 为读取的系统视图分配了PUBLIC角色。 |
受限用户 | 受限用户没有通过SQL控制台进行的完全SQL访问,而是使用“ CREATE RESTRICTED USER”语句创建的。如果使用任何应用程序都需要特权,那么将通过角色提供特权。
| 用户需要RESTRICTED_USER_ODBC_ACCESS或RESTRICTED_USER_JDBC_ACCESS角色才能完全访问ODBC / JDBC功能 |
SAP HANA用户管理员有权访问以下活动–
创建/删除用户。
定义和创建角色。
向用户授予角色。
重置用户密码。
根据要求重新激活/取消激活用户。
在SAP HANA中创建用户只有具有ROLE ADMIN特权的数据库用户才能在SAP HANA中创建用户和角色。
步骤1)要在SAP HANA Studio中创建新用户,请转到安全标签,如下所示,并执行以下步骤:
步骤2)出现用户创建屏幕。
输入用户名。
输入用户密码。
这些是身份验证机制,默认情况下,用户名/密码用于身份验证。
进入安全节点。
选择用户(右键单击)->新用户。
通过单击部署按钮,将创建用户。
2.定义和创建角色
角色是可以授予其他用户或角色的特权的集合。该角色包括数据库对象和应用程序的特权,并取决于作业的性质。
这是授予特权的标准机制。特权可以直接授予用户。SAP HANA数据库中有许多标准角色(例如,MODELLING,MONITORING等)。
我们可以将标准角色用作创建自定义角色的模板。
角色可以包含以下特权–
用于管理和开发任务(CATALOG READ,AUDIT ADMIN等)的系统特权
数据库对象的对象特权(SELECT,INSERT,DELETE等)
SAP HANA信息视图的分析特权
存储库软件包的软件包特权(REPO.READ,REPO.EDIT_NATIVE_OBJECTS等)
SAP HANA XS应用程序的应用程序特权。
用户的特权(用于程序调试)。
角色创建
步骤1)在这一步中,
转到SAP HANA系统中的“安全性”节点。
选择角色节点(右键单击),然后选择新建角色。
步骤2)显示角色创建屏幕。
在“新角色块”下输入角色名称。
选择“授予的角色”选项卡,然后单击“ +”图标以添加标准角色或退出角色。
选择所需角色(例如,MODELLING,MONITORING等)
步骤3)在这一步中,
所选角色将添加到“授予的角色”选项卡中。
可以通过选择系统特权,对象特权,分析特权,程序包特权等将特权直接分配给用户。
单击部署图标以创建角色。
如果您想将此角色分配给其他用户和角色,请勾选“授予其他用户和角色”选项。
3.授予用户角色
步骤1)在这一步中,我们将角色“ MODELLING_VIEW”分配给另一个用户“ ABHI_TEST”。
转到“安全性”节点下的“用户”子节点,然后双击它。将显示用户窗口。
单击授予角色“ +”图标。
将出现一个弹出窗口,搜索角色名称将分配给用户。
步骤2)在此步骤中,将在“角色”下添加角色“ MODELLING_VIEW”。
步骤3)在这一步中,
单击部署按钮。
显示一条消息“ User'ABHI_TEST”已更改。
4.重置用户密码
如果需要重置用户密码,请转到“安全性”节点下的“用户”子节点,然后双击它。将显示用户窗口。
步骤1)在这一步中,
输入新密码。
输入确认密码。
步骤2)在这一步中,
单击部署按钮。
显示一条消息“ User'ABHI_TEST”已更改。
5.重新激活/取消激活用户
转到“安全性”节点下的“用户”子节点,然后双击它。将显示用户窗口。
有停用用户图标。点击它
出现确认信息“弹出”。点击“是”按钮。
将显示一条消息“用户'ABHI_TEST'已停用”。停用图标的名称更改为“激活用户”。现在,我们可以从同一图标激活用户。
SAP HANA许可证管理
使用SAP HANA数据库需要许可证密钥。可以使用SAP HANA Studio,SAP HANA HDBSQL命令行工具和HANA SQL查询编辑器来安装和删除许可证密钥。
SAP HANA数据库支持两种类型的许可证密钥–
永久许可证密钥:永久许可证密钥有效期至到期日。我们需要在过期之前请求并应用许可证密钥。如果许可证密钥过期,则会在28天之内自动安装临时许可证密钥。
临时许可证密钥:随新的SAP HANA数据库安装一起自动安装。 有效期为90天,以后可以从SAP申请永久密钥。
授权管理
许可证管理 需要“ LICENSE ADMIN”特权。
SAP HANA审核
SAP HANA审核功能使您可以监视和记录在SAP HANA系统中执行的操作。在创建审核策略之前,应为系统激活此功能。
SAP HANA审核授权
SAP HANA审核需要“ AUDIT ADMIN”系统特权。
总结:
在本教程中,我们学习了以下主题-
SAP HANA安全性概述。
SAP HANA身份验证的详细信息。
SAP HANA授权的详细信息。
SAP HANA用户管理方法。
SAP HANA角色管理方法
SAP HANA许可证管理流程。
SAP HANA角色审核流程。