Sécurité SAP HANA: didacticiel complet

Table des matières:

Anonim
Qu'est-ce que Sap Hana Security?

SAP HANA Security protège les données importantes contre les accès non autorisés et garantit que les normes et la conformité sont conformes aux normes de sécurité adoptées par l'entreprise.

SAP HANA fournit une fonction, c'est-à-dire une base de données multi-locataire, dans laquelle plusieurs bases de données peuvent être créées sur un seul système SAP HANA. Il est connu sous le nom de conteneur de base de données multi-locataire. Ainsi, SAP HANA fournit toutes les fonctionnalités liées à la sécurité pour tous les conteneurs de bases de données mutualisés.

SAP HANA Fournit la fonctionnalité suivante liée à la sécurité -

  • Gestion des utilisateurs et des rôles
  • Autorisation
  • Authentification
  • Chiffrement des données dans la couche de persistance
  • Chiffrement des données dans la couche réseau

Utilisateur et rôle SAP HANA

La configuration de la gestion des utilisateurs et des rôles SAP HANA dépend de l'architecture comme ci-dessous -

  1. Architecture à 3 niveaux.

    SAP HANA peut être utilisé comme base de données relationnelle dans une architecture à 3 niveaux.

    Dans cette architecture, les fonctionnalités de sécurité (autorisation, authentification, chiffrement et audit) sont installées sur les couches du serveur d'applications.

    L'application SAP (ERP, BW, etc.) se connecte à la base de données uniquement avec l'aide d'un utilisateur technique ou d'un administrateur de base de données (personne de base). L'utilisateur final ne peut pas accéder directement à la base de données ou au serveur de base de données.

  1. Architecture à 2 niveaux.

    SAP HANA Extended Application Services (SAP HANA XS) est basé sur une architecture à 2 niveaux, dans laquelle le serveur d'applications, le serveur Web et l'environnement de développement sont intégrés dans un seul système.

Authentification SAP HANA

L'utilisateur de la base de données identifie qui accède à la base de données SAP HANA. Il est vérifié par un processus nommé «Authentification». SAP HANA prend en charge de nombreuses méthodes d'authentification. L'authentification unique (SSO) est utilisée pour intégrer plusieurs méthodes d'authentification.

SAP HANA prend en charge la méthode d'authentification suivante -

  • Kerberos: il peut être utilisé dans le cas suivant -
    • Directement à partir du client JDBC et ODBC (SAP HANA Studio).
    • Lorsque HTTP est utilisé pour accéder à SAP HANA XS.
  • Identifiant Mot de passe

    Lorsque l'utilisateur entre son nom d'utilisateur et son mot de passe de base de données, la base de données SAP HANA authentifie l'utilisateur.

  • Langage de balisage d'assertion de sécurité (SAML)

    SAML peut être utilisé pour authentifier l'utilisateur SAP HANA, qui accède à la base de données SAP HANA directement via ODBC / JDBC. Il s'agit d'un processus de mappage de l'identité de l'utilisateur externe sur l'utilisateur de la base de données interne, afin que l'utilisateur puisse se connecter à la base de données SAP avec l'ID utilisateur externe.

  • Billets de connexion et d'assertion SAP

    L'utilisateur peut être authentifié par des tickets de connexion ou d'assertion, qui sont configurés et émis à l'utilisateur pour la création d'un ticket.

  • Certificats clients X.509

    Lorsque SAP HANA XS Access par HTTP, les certificats clients signés par une autorité de certification (CA) de confiance peuvent être utilisés pour authentifier l'utilisateur.

Autorisation SAP HANA

L'autorisation SAP HANA est requise lorsqu'un utilisateur utilisant l'interface client (JDBC, ODBC ou HTTP) pour accéder à la base de données SAP HANA.

En fonction de l'autorisation fournie à l'utilisateur, il peut effectuer des opérations de base de données sur l'objet de base de données. Cette autorisation est appelée «privilèges».

Les privilèges peuvent être accordés à l'utilisateur directement ou indirectement (via des rôles). Tous les privilèges attribués aux utilisateurs sont combinés en une seule unité.

Lorsqu'un utilisateur tente d'accéder à un objet de la base de données SAP HANA, le système HANA effectue une vérification des autorisations sur l'utilisateur via les rôles d'utilisateur et accorde directement les privilèges.

Lorsque les privilèges demandés sont trouvés, le système HANA ignore les vérifications supplémentaires et accorde l'accès aux objets de base de données de demande.

Dans SAP HANA, les privilèges suivants sont leurs -

Types de privilèges Description
Privilèges système Il contrôle l'activité normale du système. Les privilèges système sont principalement utilisés pour -
  • Création et suppression de schéma dans la base de données SAP HANA
  • Gestion des utilisateurs et des rôles dans la base de données SAP HANA
  • Surveillance et traçage de la base de données SAP HANA
  • Effectuer des sauvegardes de données
  • Gérer la licence
  • Gérer la version
  • Gérer l'audit
  • Importation et exportation de contenu
  • Maintenir les unités de livraison
Privilèges d'objet Les privilèges d'objet sont des privilèges SQL qui sont utilisés pour donner l'autorisation de lire et de modifier des objets de base de données. Pour accéder aux objets de base de données, l'utilisateur a besoin de privilèges d'objet sur les objets de base de données ou sur le schéma dans lequel l'objet de base de données existe. Les privilèges d'objet peuvent être accordés aux objets de catalogue (table, vue, etc.) ou aux objets hors catalogue (objets de développement). Les privilèges d'objet sont comme ci-dessous -
  • CRÉER TOUT
  • METTRE À JOUR, INSÉRER, SÉLECTIONNER, SUPPRIMER, SUPPRIMER, ALTER, EXÉCUTER
  • INDEX, TRIGGER, DEBUG, RÉFÉRENCES
Privilèges analytiques Les privilèges analytiques sont utilisés pour autoriser l'accès en lecture aux données du modèle d'information SAP HANA (vue d'attributs, vue analytique, vue de calcul).
  • Ce privilège est évalué lors du traitement de la requête.
  • Les privilèges analytiques accordent un accès utilisateur différent à différentes parties des données dans le
  • Même vue d'informations en fonction du rôle de l'utilisateur.
  • Les privilèges analytiques sont utilisés dans la base de données SAP HANA pour fournir des données au niveau des lignes
Le contrôle permettant aux utilisateurs individuels de voir les données se trouve dans la même vue.
Privilèges du package Les privilèges de package permettent d'autoriser des actions sur des packages individuels dans le référentiel SAP HANA.
Privilèges d'application Les privilèges d'application sont requis dans les services d'application étendus dans SAP HANA (SAP HANA XS) pour accéder à l'application. Les privilèges d'application sont accordés et révoqués via les procédures GRANT_APPLICATION_PRIVILEGE et REVOKE_APPLICATION_PRIVILEGE dans le schéma _SYS_REPO.
Privilèges sur l'utilisateur Il s'agit d'un privilège SQL, qui peut être accordé par l'utilisateur sur son propre utilisateur. ATTACH DEBUGGER est le seul privilège qui peut être accordé à un utilisateur.

Administration des utilisateurs et gestion des rôles SAP HANA

Pour accéder à la base de données SAP HANA, des utilisateurs sont requis. En fonction de la politique de sécurité différente, il existe deux types d'utilisateurs dans SAP HANA comme ci-dessous -

  1. Utilisateur technique (utilisateur DBA) - Il s'agit d'un utilisateur qui travaille directement avec la base de données SAP HANA avec les privilèges nécessaires. Normalement, ces utilisateurs ne sont pas supprimés de la base de données.

    Ces utilisateurs sont créés pour une tâche administrative telle que la création d'un objet et l'octroi de privilèges sur l'objet de base de données ou sur l'application.

    Le système de base de données SAP HANA fournit l'utilisateur suivant par défaut en tant qu'utilisateur standard-

  • SYSTÈME
  • SYS
  • _SYS_REPO
  1. Base de données ou utilisateur réel: chaque utilisateur souhaitant travailler sur la base de données SAP HANA a besoin d'un utilisateur de base de données. L'utilisateur de la base de données est une personne réelle qui travaille sur SAP HANA.

    Il existe deux types d'utilisateurs de base de données comme ci-dessous -

Type d'utilisateur Description Rôle attribué
Utilisateur standard Cet utilisateur peut créer des objets dans un propre schéma et lit les données dans les vues système. Utilisateur standard créé avec l'instruction "CREATE USER". Le rôle PUBLIC est attribué pour les vues système en lecture.
Utilisateur restreint L'utilisateur restreint n'a pas d'accès SQL complet via une console SQL et créé avec l'instruction "CREATE RESTRICTED USER". Si des privilèges sont requis pour l'utilisation d'une application, ils sont fournis via le rôle.
  • L'utilisateur restreint ne peut pas créer d'objets de base de données.
  • L'utilisateur restreint ne peut pas afficher les données dans la base de données.
  • L'utilisateur restreint se connecte à la base de données via HTTP uniquement.
  • L'accès ODBC / JDBC pour la connexion client doit être activé avec l'instruction SQL.
 Rôle RESTRICTED_USER_ODBC_ACCESS ou RESTRICTED_USER_JDBC_ACCESS requis pour l'utilisateur pour un accès complet aux fonctionnalités ODBC / JDBC

L'administrateur des utilisateurs SAP HANA a accès à l'activité suivante -

  1. Créer / supprimer un utilisateur.
  2. Définissez et créez un rôle.
  3. Attribuez un rôle à l'utilisateur.
  4. Réinitialisation du mot de passe utilisateur.
  5. Réactivez / désactivez l'utilisateur selon les besoins.
  1. Créer un utilisateur dans SAP HANA - Un utilisateur de base de données uniquement doté de privilèges ROLE ADMIN peut créer un utilisateur et un rôle dans SAP HANA.

    Étape 1) Pour créer un nouvel utilisateur dans SAP HANA Studio, accédez à l'onglet de sécurité comme indiqué ci-dessous et suivez les étapes suivantes;

    1. Accédez au nœud de sécurité.
    2. Sélectionnez Utilisateurs (clic droit) -> Nouvel utilisateur.

    Étape 2) Un écran de création d'utilisateur apparaît.

    1. Saisissez votre nom d'utilisateur.
    2. Entrez le mot de passe de l'utilisateur.
    3. Ce sont des mécanismes d'authentification, par défaut le nom d'utilisateur / mot de passe est utilisé pour l'authentification.

En cliquant sur le bouton de déploiement, l' utilisateur sera créé.

2. Définir et créer un rôle

Un rôle est un ensemble de privilèges qui peuvent être accordés à d'autres utilisateurs ou rôles. Le rôle inclut des privilèges pour l'objet de base de données et l'application et en fonction de la nature du travail.

C'est un mécanisme standard pour accorder des privilèges. Les privilèges peuvent être directement accordés à l'utilisateur. De nombreux rôles standard (par exemple, MODÉLISATION, SURVEILLANCE, etc.) sont disponibles dans la base de données SAP HANA.

Nous pouvons utiliser le rôle standard comme modèle pour créer un rôle personnalisé.

Un rôle peut contenir les privilèges suivants -

  • Privilèges système pour les tâches d'administration et de développement (CATALOG READ, AUDIT ADMIN, etc.)
  • Privilèges d'objet pour les objets de base de données (SELECT, INSERT, DELETE, etc.)
  • Privilèges analytiques pour l'affichage des informations SAP HANA
  • Privilèges de package sur les packages de référentiel (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
  • Privilèges d'application pour les applications SAP HANA XS.
  • Privilèges sur l'utilisateur (pour le débogage de la procédure).

Création de rôle

Étape 1) Dans cette étape,

  1. Accédez au nœud de sécurité dans le système SAP HANA.
  2. Sélectionnez Nœud de rôle (clic droit) et sélectionnez Nouveau rôle.

Étape 2) Un écran de création de rôle s'affiche.

  1. Donnez le nom du rôle sous Nouveau bloc de rôle.
  2. Sélectionnez l'onglet Rôle accordé, puis cliquez sur l'icône «+» pour ajouter un rôle standard ou un rôle sortant.
  3. Sélectionnez le rôle souhaité (par exemple, MODÉLISATION, SURVEILLANCE, etc.)

ÉTAPE 3) Dans cette étape,

  1. Le rôle sélectionné est ajouté dans l'onglet Rôles accordés.
  2. Les privilèges peuvent être attribués directement à l'utilisateur en sélectionnant les privilèges système, les privilèges d'objet, les privilèges analytiques, les privilèges de package, etc.
  3. Cliquez sur l'icône de déploiement pour créer un rôle.

Cochez l'option "Accordable à d'autres utilisateurs et rôles", si vous souhaitez attribuer ce rôle à d'autres utilisateurs et rôles.

3. Attribuer un rôle à l'utilisateur

ÉTAPE 1) Dans cette étape, nous attribuerons le rôle "MODELLING_VIEW" à un autre utilisateur "ABHI_TEST".

  1. Accédez au sous-nœud Utilisateur sous le nœud de sécurité et double-cliquez dessus. La fenêtre utilisateur s'affiche.
  2. Cliquez sur l'icône Rôles attribués "+".
  3. Une fenêtre contextuelle apparaîtra, le nom du rôle de recherche sera attribué à l'utilisateur.

ÉTAPE 2) Dans cette étape, le rôle "MODELLING_VIEW" sera ajouté sous Role.

ÉTAPE 3) Dans cette étape,

  1. Cliquez sur le bouton Déployer.
  2. Un message "Utilisateur 'ABHI_TEST" modifié s'affiche.

4. Réinitialisation du mot de passe de l'utilisateur

Si le mot de passe utilisateur doit être réinitialisé, accédez au sous-nœud Utilisateur sous le nœud Sécurité et double-cliquez dessus. La fenêtre utilisateur s'affiche.

ÉTAPE 1) Dans cette étape,

  1. Entrez un nouveau mot de passe.
  2. Entrez Confirmer le mot de passe.

ÉTAPE 2) Dans cette étape,

  1. Cliquez sur le bouton Déployer.
  2. Un message "Utilisateur 'ABHI_TEST" modifié s'affiche.

5. Réactiver / désactiver l'utilisateur

Accédez au sous-nœud Utilisateur sous le nœud de sécurité et double-cliquez dessus. La fenêtre utilisateur s'affiche.

Il y a l'icône Désactiver l'utilisateur. Clique dessus

Un message de confirmation "Popup" apparaîtra. Cliquez sur le bouton «Oui».

Un message "Utilisateur 'ABHI_TEST' désactivé" sera affiché. L'icône Désactiver change avec le nom "Activer l'utilisateur". Maintenant, nous pouvons activer l'utilisateur à partir de la même icône.

Gestion des licences SAP HANA

La clé de licence est requise pour utiliser la base de données SAP HANA. Une clé de licence peut être installée et supprimée à l'aide de SAP HANA Studio, de l'outil de ligne de commande SAP HANA HDBSQL et de l'éditeur de requêtes SQL HANA.

La base de données SAP HANA prend en charge deux types de clé de licence -

  • Clé de licence permanente : les clés de licence permanentes sont valides jusqu'à la date d'expiration. Nous devons demander et appliquer la clé de licence avant d'expirer. Si la clé de licence expire, la clé de licence temporaire est automatiquement installée pendant 28 jours.
  • Clé de licence temporaire: elle est automatiquement installée avec une nouvelle installation de base de données SAP HANA. Il est valide pendant 90 jours et peut ensuite demander une clé permanente auprès de SAP.

Autorisation de gestion des licences

Les privilèges «LICENSE ADMIN» sont requis pour la gestion des licences.

Audit SAP HANA

Les fonctionnalités d'audit SAP HANA vous permettent de surveiller et d'enregistrer les actions effectuées dans le système SAP HANA. Ces fonctionnalités doivent être activées pour le système avant de créer une stratégie d'audit.

Autorisation pour l'audit SAP HANA

Privilèges système "AUDIT ADMIN" requis pour l'audit SAP HANA.

Résumé :

Dans ce didacticiel, nous avons appris le sujet suivant -

  • Présentation de la sécurité SAP HANA.
  • Authentification SAP HANA en détail.
  • Autorisation SAP HANA en détail.
  • Méthode d'administration des utilisateurs SAP HANA.
  • Méthode d'administration des rôles SAP HANA
  • Processus de gestion des licences SAP HANA.
  • Processus d'audit des rôles SAP HANA.