SAP HANA Güvenliği: Eksiksiz Eğitim

İçindekiler:

Anonim
Sap Hana Güvenliği nedir?

SAP HANA Security, önemli verileri yetkisiz erişime karşı korur ve standartların ve uyumluluğun şirket tarafından benimsenen güvenlik standardı olarak karşılanmasını sağlar.

SAP HANA, tek bir SAP HANA Sistemi üzerinde birden çok veritabanının oluşturulabileceği bir tesis, yani Multitenant veritabanı sağlar. Çok kiracılı veritabanı konteyneri olarak bilinir. Dolayısıyla SAP HANA, tüm çok kiracılı veritabanı kapsayıcısı için güvenlikle ilgili tüm özellikleri sağlar.

SAP HANA Güvenlikle ilgili aşağıdaki özelliği sağlayın -

  • Kullanıcı ve Rol Yönetimi
  • yetki
  • Doğrulama
  • Kalıcılık Katmanında verilerin şifrelenmesi
  • Ağ Katmanında verilerin şifrelenmesi

SAP HANA Kullanıcısı ve Rolü

SAP HANA Kullanıcı ve Rol yönetimi yapılandırması, aşağıdaki mimariye bağlıdır -

  1. 3 Katmanlı Mimari.

    SAP HANA, 3 Katmanlı bir Mimaride ilişkisel bir veritabanı olarak kullanılabilir.

    Bu mimaride, güvenlik özellikleri (yetkilendirme, kimlik doğrulama, şifreleme ve denetleme) uygulama sunucusu katmanlarına yüklenir.

    SAP uygulaması (ERP, BW, vb.) Veritabanına yalnızca teknik bir kullanıcı veya veritabanı yöneticisi (Temel Kişi) yardımıyla bağlanır. Son kullanıcı, veri tabanına veya veri tabanı sunucusuna doğrudan erişemez.

  1. 2 Katmanlı Mimari.

    SAP HANA Genişletilmiş Uygulama Hizmetleri (SAP HANA XS) , Uygulama sunucusu, Web Sunucusu ve Geliştirme Ortamının tek bir sisteme yerleştirildiği 2 Katmanlı Mimariye dayanır.

SAP HANA Kimlik Doğrulaması

Veritabanı kullanıcısı, SAP HANA Veritabanına kimin eriştiğini tanımlar. "Kimlik Doğrulama" adlı bir işlemle doğrulanır. SAP HANA, birçok kimlik doğrulama yöntemini destekler. Tek Oturum Açma (SSO), birkaç Kimlik Doğrulama yöntemini entegre etmek için kullanılır.

SAP HANA, aşağıdaki kimlik doğrulama yöntemini destekler -

  • Kerberos: Aşağıdaki durumda kullanılabilir -
    • Doğrudan JDBC ve ODBC İstemcisinden (SAP HANA Studio).
    • SAP HANA XS'e erişmek için HTTP kullanıldığında.
  • Kullanıcı adı Şifre

    Kullanıcı veritabanı kullanıcı adını ve şifresini girdiğinde, SAP HANA Veritabanı kullanıcının kimliğini doğrular.

  • Güvenlik Onayı Biçimlendirme Dili (SAML)

    SAML , SAP HANA Veritabanına doğrudan ODBC / JDBC aracılığıyla erişen SAP HANA Kullanıcısının kimliğini doğrulamak için kullanılabilir. Harici kullanıcı kimliğini dahili veritabanı kullanıcısıyla eşleştirme işlemidir, böylece kullanıcı, harici kullanıcı kimliği ile sap veritabanında oturum açabilir.

  • SAP Oturum Açma ve Onaylama Biletleri

    Kullanıcı, bir bilet oluşturmak için yapılandırılan ve kullanıcıya verilen Oturum Açma veya Onaylama Biletleri ile doğrulanabilir.

  • X.509 İstemci Sertifikaları

    HTTP ile SAP HANA XS Erişimi olduğunda, kullanıcının kimliğini doğrulamak için güvenilir bir Sertifika yetkilisi (CA) tarafından imzalanan İstemci sertifikaları kullanılabilir.

SAP HANA Yetkilendirmesi

İstemci arabirimini (JDBC, ODBC veya HTTP) kullanan bir kullanıcının SAP HANA veritabanına erişmek için SAP HANA Yetkilendirmesi gerekir.

Kullanıcıya sağlanan yetkiye bağlı olarak, veritabanı nesnesi üzerinde veritabanı işlemleri gerçekleştirebilir. Bu yetkiye "ayrıcalıklar" denir.

Ayrıcalıklar kullanıcıya doğrudan veya dolaylı olarak (roller aracılığıyla) verilebilir. Kullanıcılara atanan tüm Ayrıcalıklar tek bir birim olarak birleştirilir.

Bir kullanıcı herhangi bir SAP HANA Veritabanı nesnesine erişmeye çalıştığında, HANA Sistemi, kullanıcı rolleri aracılığıyla kullanıcı üzerinde yetkilendirme kontrolü yapar ve ayrıcalıkları doğrudan verir.

Ayrıcalıklar istendiğinde, HANA sistemi diğer kontrolleri atlar ve veritabanı nesnelerini talep etmek için erişim izni verir.

SAP HANA'da aşağıdaki ayrıcalıklar onların -

Ayrıcalık Türleri Açıklama
Sistem Ayrıcalıkları Normal sistem aktivitesini kontrol eder. Sistem Ayrıcalıkları esas olarak şunlar için kullanılır:
  • SAP HANA Veritabanında Şema Oluşturma ve Silme
  • SAP HANA Veritabanında kullanıcı ve rolü yönetme
  • SAP HANA veritabanının izlenmesi ve izlenmesi
  • Veri yedeklemelerinin gerçekleştirilmesi
  • Lisans yönetimi
  • Sürümü yönetme
  • Denetimi Yönetmek
  • İçeriği İçe ve Dışa Aktarmak
  • Teslimat Birimlerinin Bakımı
Nesne Ayrıcalıkları Nesne Ayrıcalıkları, veritabanı nesnelerini okuma ve değiştirme yetkisi vermek için kullanılan SQL ayrıcalıklarıdır. Veritabanı nesnelerine erişmek için, kullanıcının veritabanı nesnelerinde veya veritabanı nesnesinin bulunduğu şemada nesne ayrıcalıklarına ihtiyacı vardır. Nesne ayrıcalıkları, katalog nesnelerine (tablo, görünüm vb.) Veya katalog dışı nesnelere (geliştirme nesneleri) verilebilir. Nesne Ayrıcalıkları aşağıdaki gibidir -
  • HERHANGİ BİR OLUŞTUR
  • GÜNCELLE, EKLE, SEÇ, SİL, BIRAK, DEĞİŞTİR, YÜRÜT
  • INDEX, TRIGGER, DEBUG, REFERANSLAR
Analitik Ayrıcalıklar Analitik Ayrıcalıklar, SAP HANA Bilgi modelinin verilerine (öznitelik görünümü, Analitik Görünüm, hesaplama Görünümü) okuma erişimine izin vermek için kullanılır.
  • Bu ayrıcalık, sorgu işleme sırasında değerlendirilir.
  • Analitik Ayrıcalıklar, verinin farklı bölümlerine farklı kullanıcı erişimi sağlar.
  • Kullanıcı rolüne göre aynı bilgi görünümü.
  • Analitik Ayrıcalıklar, satır düzeyinde veri sağlamak için SAP HANA veritabanında kullanılır
Bireysel kullanıcıların verileri görme kontrolü aynı görünümdedir.
Paket Ayrıcalıkları Paket Ayrıcalıkları, SAP HANA Repository'deki ayrı paketler üzerindeki eylemler için yetkilendirme sağlamak için kullanılır.
Uygulama Ayrıcalıkları Erişim uygulaması için SAP HANA Genişletilmiş Uygulama Hizmetlerinde (SAP HANA XS) Uygulama Ayrıcalıkları gereklidir. Uygulama ayrıcalıkları, _SYS_REPO şemasındaki GRANT_APPLICATION_PRIVILEGE ve REVOKE_APPLICATION_PRIVILEGE prosedürleri aracılığıyla verilir ve iptal edilir.
Kullanıcı Ayrıcalıkları Kullanıcı tarafından kendi kullanıcısına verilebilen bir SQL Ayrıcalıklarıdır. ATTACH DEBUGGER, bir kullanıcıya verilebilecek tek ayrıcalıktır.

SAP HANA Kullanıcı Yönetimi ve Rol Yönetimi

SAP HANA Veritabanına erişmek için kullanıcılar gereklidir. Farklı güvenlik politikasına bağlı olarak, SAP HANA'da aşağıdaki gibi iki tür kullanıcı vardır:

  1. Teknik Kullanıcı (DBA Kullanıcı) - O bir kullanıcının kim gerekli ayrıcalıklarla SAP HANA veritabanı ile doğrudan çalışır. Normalde bu kullanıcılar veritabanından silinmez.

    Bu kullanıcılar, bir nesne oluşturma ve veritabanı nesnesi veya uygulama üzerinde ayrıcalıklar verme gibi bir yönetim görevi için oluşturulur.

    SAP HANA Veritabanı sistemi, standart kullanıcı olarak varsayılan olarak aşağıdaki kullanıcıyı sağlar:

  • SİSTEM
  • SYS
  • _SYS_REPO
  1. Veritabanı veya Gerçek Kullanıcı: SAP HANA veritabanı üzerinde çalışmak isteyen her kullanıcının bir veritabanı kullanıcısına ihtiyacı vardır. Veritabanı kullanıcısı, SAP HANA üzerinde çalışan gerçek bir kişidir.

    Aşağıdaki gibi iki tür Veritabanı kullanıcısı vardır -

Kullanıcı tipi Açıklama Rol atandı
Standart kullanıcı Bu kullanıcı, kendi şemasında nesneler oluşturabilir ve verileri sistem görünümlerinde okuyabilir. "CREATE USER" ifadesiyle oluşturulmuş Standart Kullanıcı. KAMU rolü, okuma sistemi görünümleri için atanır.
Kısıtlı Kullanıcı Kısıtlı Kullanıcı, bir SQL Konsolu üzerinden tam SQL Erişimi'ne sahip değildir ve "KISITLI KULLANICI OLUŞTUR" ifadesiyle oluşturulmuştur. Herhangi bir uygulamanın kullanımı için Ayrıcalıklar gerekiyorsa, bunlar rol aracılığıyla sağlanır.
  • Kısıtlı Kullanıcı, veritabanı nesneleri oluşturamaz.
  • Kısıtlı Kullanıcı, veri tabanındaki verileri görüntüleyemez.
  • Kısıtlı Kullanıcı, veritabanına Yalnızca HTTP aracılığıyla bağlanır.
  • İstemci bağlantısı için ODBC / JDBC erişimi, SQL ifadesiyle etkinleştirilmelidir.
 ODBC / JDBC işlevselliğine Tam Erişim için kullanıcıya RESTRICTED_USER_ODBC_ACCESS veya RESTRICTED_USER_JDBC_ACCESS rolü gerekir

SAP HANA Kullanıcı Yöneticisinin aşağıdaki etkinliğe erişimi vardır -

  1. Kullanıcı oluşturun / silin.
  2. Rol Tanımlayın ve Oluşturun.
  3. Kullanıcıya Rol Verin.
  4. Kullanıcı şifresi sıfırlanıyor.
  5. Kullanıcıyı ihtiyaca göre yeniden etkinleştirin / devre dışı bırakın.
  1. SAP HANA'da Kullanıcı Oluştur - yalnızca ROLE ADMIN ayrıcalıklarına sahip veritabanı kullanıcısı , SAP HANA'da kullanıcı ve rol oluşturabilir.

    Adım 1) SAP HANA Studio'da yeni kullanıcı oluşturmak için aşağıda gösterildiği gibi güvenlik sekmesine gidin ve aşağıdaki adımları izleyin;

    1. Güvenlik düğümüne gidin.
    2. Kullanıcılar'ı seçin (Sağ Tık) -> Yeni Kullanıcı.

    Adım 2) Bir kullanıcı oluşturma ekranı belirir.

    1. Kullanıcı adı girin.
    2. Kullanıcı için Parola girin.
    3. Bunlar kimlik doğrulama mekanizmasıdır, varsayılan olarak Kullanıcı adı / parola kimlik doğrulaması için kullanılır.

Konuşlandırma Düğmesine tıklanarak kullanıcı oluşturulacaktır.

2. Rol Tanımlayın ve Oluşturun

Rol, diğer kullanıcılara veya role verilebilecek bir ayrıcalıklar koleksiyonudur. Rol, veritabanı nesnesi ve uygulaması için ve işin niteliğine bağlı olarak ayrıcalıkları içerir.

Ayrıcalıklar vermek için standart bir mekanizmadır. Ayrıcalıklar doğrudan kullanıcıya verilebilir. SAP HANA veri tabanında birçok standart rol (örn. MODELLEME, İZLEME, vb.) Mevcuttur.

Standart rolü, özel bir rol oluşturmak için şablon olarak kullanabiliriz.

Bir rol aşağıdaki ayrıcalıkları içerebilir -

  • Yönetim ve geliştirme görevi için Sistem Ayrıcalıkları (KATALOG OKUMA, DENETİM YÖNETİCİSİ, vb.)
  • Veritabanı nesneleri için Nesne Ayrıcalıkları (SELECT, INSERT, DELETE, vb.)
  • SAP HANA Bilgi Görünümü için Analitik Ayrıcalıklar
  • Depo paketlerinde (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, vb.) Paket Ayrıcalıkları
  • SAP HANA XS uygulamaları için Uygulama Ayrıcalıkları.
  • Kullanıcıya ilişkin ayrıcalıklar (Prosedürün Hata Ayıklaması için).

Rol Oluşturma

Adım 1) Bu adımda,

  1. SAP HANA Sisteminde Güvenlik düğümüne gidin.
  2. Rol Düğümü'nü (Sağ Tık) seçin ve Yeni Rol'ü seçin.

Adım 2) Bir rol oluşturma ekranı görüntülenir.

  1. Yeni Rol Bloğu altında Rol adını verin.
  2. Verilen Rol sekmesini seçin ve Standart Rol eklemek veya çıkış rolü için "+" Simgesini tıklayın.
  3. İstenen rolü seçin (örn. MODELLEME, İZLEME, vb.)

ADIM 3) Bu adımda,

  1. Seçilen Rol, Verilen Roller Sekmesine eklenir.
  2. Ayrıcalıklar, Sistem Ayrıcalıkları, nesne Ayrıcalıkları, Analitik Ayrıcalıklar, Paket Ayrıcalıkları vb. Seçilerek kullanıcıya doğrudan atanabilir.
  3. Rol oluşturmak için dağıt simgesine tıklayın.

Bu rolü başka bir kullanıcıya ve role atamak istiyorsanız, "Diğer kullanıcılara ve rollere verilebilir" seçeneğini işaretleyin.

3. Kullanıcıya Rol Ver

ADIM 1) Bu adımda, "MODELLING_VIEW" Rolünü başka bir "ABHI_TEST" kullanıcısına atayacağız.

  1. Güvenlik düğümü altındaki Kullanıcı alt düğümüne gidin ve çift tıklayın. Kullanıcı penceresi gösterilecektir.
  2. Verilen roller "+" Simgesini tıklayın.
  3. Kullanıcıya atanacak olan Arama Rolü adı adlı bir açılır pencere görünecektir.

ADIM 2) Bu adımda, "MODELLING_VIEW" rolü Rol altına eklenecektir.

ADIM 3) Bu adımda,

  1. Dağıt Düğmesine tıklayın.
  2. Bir "Kullanıcı 'ABHI_TEST" değiştirildi mesajı görüntülenir.

4. Kullanıcı Şifresinin Sıfırlanması

Kullanıcı parolasının sıfırlanması gerekiyorsa, Güvenlik düğümü altındaki Kullanıcı alt düğümüne gidin ve çift tıklayın. Kullanıcı penceresi gösterilecektir.

ADIM 1) Bu adımda,

  1. Yeni parolayı girin.
  2. Parolayı onayla girin.

ADIM 2) Bu adımda,

  1. Dağıt Düğmesine tıklayın.
  2. "Kullanıcı 'ABHI_TEST" değiştirildi mesajı görüntülenir.

5. Kullanıcıyı Yeniden Etkinleştir / Devre Dışı Bırak

Güvenlik düğümü altındaki Kullanıcı alt düğümüne gidin ve çift tıklayın. Kullanıcı penceresi gösterilecektir.

Kullanıcıyı Devre Dışı Bırak simgesi vardır. Üstüne tıkla

Bir onay mesajı "Popup" görünecektir. 'Evet' Düğmesine tıklayın.

"Kullanıcı 'ABHI_TEST' devre dışı bırakıldı" mesajı görüntülenecektir. De-Activate simgesi, "Kullanıcıyı etkinleştir" adıyla değişir. Artık kullanıcıyı aynı simgeden etkinleştirebiliriz.

SAP HANA Lisans Yönetimi

SAP HANA Veritabanını kullanmak için lisans anahtarı gereklidir. SAP HANA Studio, SAP HANA HDBSQL Komut Satırı aracı ve HANA SQL Sorgu düzenleyicisi kullanılarak bir lisans anahtarı yüklenebilir ve silinebilir.

SAP HANA veritabanı iki tür lisans anahtarını destekler -

  • Kalıcı Lisans Anahtarı: Kalıcı lisans anahtarları son kullanma tarihine kadar geçerlidir. Süresi dolmadan önce lisans anahtarı talep etmemiz ve uygulamamız gerekir. Lisans anahtarının süresi dolarsa, Geçici Lisans Anahtarı 28 gün boyunca otomatik olarak yüklenir.
  • Geçici Lisans Anahtarı: Bu, yeni bir SAP HANA Veritabanı Kurulumu ile otomatik olarak yüklenir. 90 gün boyunca geçerlidir ve daha sonra SAP'den Kalıcı anahtar için başvurabilir.

Lisans Yönetiminin Yetkilendirilmesi

Lisans Yönetimi için "LİSANS YÖNETİCİSİ" ayrıcalıkları gereklidir.

SAP HANA Denetimi

SAP HANA Denetim özellikleri, SAP HANA Sisteminde gerçekleştirilen eylemi izlemenize ve kaydetmenize olanak tanır. Denetim politikası oluşturmadan önce bu özellikler sistem için etkinleştirilmelidir.

SAP HANA Denetimi için yetki

SAP HANA Denetimi için gereken "DENETİM YÖNETİCİSİ" Sistem Ayrıcalıkları.

Özet :

Bu eğitimde aşağıdaki konuyu öğrendik -

  • SAP HANA Güvenliğine genel bakış.
  • Ayrıntılı olarak SAP HANA Kimlik Doğrulaması.
  • Ayrıntılı olarak SAP HANA Yetkilendirmesi.
  • SAP HANA Kullanıcı Yönetimi yöntemi.
  • SAP HANA Rol Yönetimi yöntemi
  • SAP HANA lisans Yönetimi süreci.
  • SAP HANA Rol Denetim Süreci.