Sap Hana Security là gì?
SAP HANA Security đang bảo vệ dữ liệu quan trọng khỏi bị truy cập trái phép và đảm bảo rằng các tiêu chuẩn và sự tuân thủ đáp ứng như tiêu chuẩn bảo mật đã được công ty thông qua.
SAP HANA cung cấp một cơ sở tức là cơ sở dữ liệu Đa đối tượng, trong đó nhiều cơ sở dữ liệu có thể được tạo trên một Hệ thống SAP HANA. Nó được gọi là vùng chứa cơ sở dữ liệu nhiều đối tượng. Vì vậy, SAP HANA cung cấp tất cả các tính năng liên quan đến bảo mật cho tất cả các vùng chứa cơ sở dữ liệu nhiều đối tượng.
SAP HANA Cung cấp tính năng liên quan đến bảo mật sau:
- Quản lý Người dùng và Vai trò
- Ủy quyền
- Xác thực
- Mã hóa dữ liệu trong Lớp bền vững
- Mã hóa dữ liệu trong Lớp mạng
Người dùng và vai trò của SAP HANA
Cấu hình quản lý vai trò và người dùng SAP HANA phụ thuộc vào kiến trúc như bên dưới:
- Kiến trúc 3 tầng.
SAP HANA có thể được sử dụng làm cơ sở dữ liệu quan hệ trong Kiến trúc 3 tầng.
Trong kiến trúc này, các tính năng bảo mật (ủy quyền, xác thực, mã hóa và kiểm tra) được cài đặt trên các lớp máy chủ ứng dụng.
Ứng dụng SAP (ERP, BW, v.v.) chỉ kết nối với cơ sở dữ liệu khi có sự trợ giúp của người dùng kỹ thuật hoặc quản trị viên cơ sở dữ liệu (Basis Person). Người dùng cuối không thể truy cập trực tiếp vào cơ sở dữ liệu hoặc máy chủ cơ sở dữ liệu.
- Kiến trúc 2 tầng.
Dịch vụ Ứng dụng Mở rộng SAP HANA (SAP HANA XS) dựa trên Kiến trúc 2 -Tier, trong đó Máy chủ ứng dụng, Máy chủ web và Môi trường phát triển được nhúng trong một hệ thống duy nhất.
Xác thực SAP HANA
Người dùng cơ sở dữ liệu xác định ai đang truy cập Cơ sở dữ liệu SAP HANA. Nó được xác minh thông qua một quy trình được đặt tên là "Xác thực". SAP HANA hỗ trợ nhiều phương pháp xác thực. Đăng nhập một lần (SSO) được sử dụng để tích hợp một số phương pháp Xác thực.
SAP HANA hỗ trợ phương pháp xác thực sau:
- Kerberos: Nó có thể được sử dụng trong trường hợp sau:
- Trực tiếp từ JDBC và ODBC Client (SAP HANA Studio).
- Khi HTTP được sử dụng để truy cập SAP HANA XS.
- Tên người dùng / Mật khẩu
Khi người dùng nhập tên người dùng và mật khẩu cơ sở dữ liệu của họ, thì Cơ sở dữ liệu SAP HANA xác thực người dùng.
- Ngôn ngữ đánh dấu xác nhận bảo mật (SAML)
SAML có thể được sử dụng để xác thực Người dùng SAP HANA, người đang truy cập Cơ sở dữ liệu SAP HANA trực tiếp thông qua ODBC / JDBC. Đây là một quá trình ánh xạ danh tính người dùng bên ngoài với người dùng cơ sở dữ liệu nội bộ, vì vậy người dùng có thể đăng nhập vào cơ sở dữ liệu sap bằng id người dùng bên ngoài.
- Vé đăng nhập và xác nhận SAP
Người dùng có thể được xác thực bằng Logon hoặc Assertion Tickets, được cấu hình và cấp cho người dùng để tạo một vé.
- X.509 Chứng chỉ Khách hàng
Khi SAP HANA XS Truy cập bằng HTTP, các chứng chỉ Máy khách được ký bởi Tổ chức phát hành chứng chỉ đáng tin cậy (CA) có thể được sử dụng để xác thực người dùng.
Ủy quyền SAP HANA
Cần có Ủy quyền SAP HANA khi người dùng sử dụng giao diện khách (JDBC, ODBC hoặc HTTP) để truy cập cơ sở dữ liệu SAP HANA.
Tùy thuộc vào phân quyền được cung cấp cho người dùng, nó có thể thực hiện các hoạt động cơ sở dữ liệu trên đối tượng cơ sở dữ liệu. Sự ủy quyền này được gọi là "đặc quyền".
Các đặc quyền có thể được cấp cho người dùng trực tiếp hoặc gián tiếp (thông qua các vai trò). Tất cả các Đặc quyền được chỉ định cho người dùng được kết hợp thành một đơn vị duy nhất.
Khi người dùng cố gắng truy cập vào bất kỳ đối tượng Cơ sở dữ liệu SAP HANA nào, Hệ thống HANA thực hiện kiểm tra ủy quyền người dùng thông qua vai trò người dùng và trực tiếp cấp các đặc quyền.
Khi tìm thấy Đặc quyền được yêu cầu, hệ thống HANA bỏ qua các bước kiểm tra thêm và cấp quyền truy cập để yêu cầu các đối tượng cơ sở dữ liệu.
Trong SAP HANA, các đặc quyền sau là của họ -
| Các loại đặc quyền | Sự miêu tả |
| Đặc quyền hệ thống | Nó kiểm soát hoạt động bình thường của hệ thống. Đặc quyền Hệ thống chủ yếu được sử dụng cho -
|
| Đặc quyền đối tượng | Đặc quyền đối tượng là đặc quyền SQL được sử dụng để cấp quyền đọc và sửa đổi các đối tượng cơ sở dữ liệu. Để truy cập các đối tượng cơ sở dữ liệu, người dùng cần có đặc quyền đối tượng trên các đối tượng cơ sở dữ liệu hoặc trên lược đồ mà đối tượng cơ sở dữ liệu tồn tại. Đặc quyền đối tượng có thể được cấp cho các đối tượng danh mục (bảng, dạng xem, v.v.) hoặc các đối tượng không thuộc danh mục (đối tượng phát triển). Đặc quyền Đối tượng như sau:
|
| Đặc quyền phân tích | Đặc quyền phân tích được sử dụng để cho phép truy cập đọc dữ liệu của mô hình thông tin SAP HANA (dạng xem thuộc tính, dạng xem phân tích, dạng xem tính toán).
|
| Đặc quyền trọn gói | Đặc quyền gói được sử dụng để cung cấp ủy quyền cho các hành động trên các gói riêng lẻ trong Kho lưu trữ SAP HANA. |
| Đặc quyền ứng dụng | Đặc quyền ứng dụng được yêu cầu trong Dịch vụ ứng dụng mở rộng trong SAP HANA (SAP HANA XS) cho ứng dụng truy cập. Đặc quyền ứng dụng được cấp và thu hồi thông qua thủ tụcGRANT_APPLICATION_PRIVILEGE và REVOKE_APPLICATION_PRIVILEGE trong lược đồ _SYS_REPO. |
| Đặc quyền dành cho người dùng | Đây là một SQL Privileges, người dùng có thể tự cấp cho người dùng. ATTACH DEBUGGER là đặc quyền duy nhất có thể được cấp cho người dùng. |
Quản lý vai trò và quản trị người dùng SAP HANA
Để truy cập Cơ sở dữ liệu SAP HANA, người dùng được yêu cầu. Tùy thuộc vào chính sách bảo mật khác nhau, có hai loại người dùng trong SAP HANA như sau:
- Tài kỹ thuật (DBA Thành viên) - Đó là một người sử dụng trực tiếp làm việc với cơ sở dữ liệu SAP HANA với quyền cần thiết. Thông thường, những người dùng này không bị xóa khỏi cơ sở dữ liệu.
Những người dùng này được tạo cho một tác vụ quản trị chẳng hạn như tạo một đối tượng và cấp đặc quyền trên đối tượng cơ sở dữ liệu hoặc trên ứng dụng.
Hệ thống cơ sở dữ liệu SAP HANA cung cấp người dùng sau theo mặc định là người dùng tiêu chuẩn-
- HỆ THỐNG
- SYS
- _SYS_REPO
- Cơ sở dữ liệu hoặc Người dùng thực: Mỗi người dùng muốn làm việc trên cơ sở dữ liệu SAP HANA, cần một người dùng cơ sở dữ liệu. Người dùng cơ sở dữ liệu là người thực làm việc trên SAP HANA.
Có hai kiểu người dùng Cơ sở dữ liệu như sau:
| Loại người dùng | Sự miêu tả | Đã giao vai trò |
| Người dùng chuẩn | Người dùng này có thể tạo các đối tượng trong một lược đồ riêng và đọc dữ liệu trong các dạng xem hệ thống. Người dùng chuẩn được tạo bằng câu lệnh "CREATE USER". | Vai trò PUBLIC được chỉ định cho các chế độ xem hệ thống đã đọc. |
| Người dùng bị hạn chế | Người dùng bị hạn chế không có quyền truy cập SQL đầy đủ qua Bảng điều khiển SQL và được tạo bằng câu lệnh "TẠO NGƯỜI DÙNG HẠN CHẾ". Nếu các Đặc quyền cần thiết để sử dụng bất kỳ ứng dụng nào, thì chúng sẽ được cung cấp thông qua vai trò.
| Vai trò RESTRICTED_USER_ODBC_ACCESS hoặc RESTRICTED_USER_JDBC_ACCESS bắt buộc đối với người dùng để có Quyền truy cập đầy đủ chức năng ODBC / JDBC |
Quản trị viên Người dùng SAP HANA có quyền truy cập vào hoạt động sau:
- Tạo / xóa Người dùng.
- Xác định và Tạo vai trò.
- Cấp vai trò cho người dùng.
- Đặt lại mật khẩu người dùng.
- Kích hoạt lại / hủy kích hoạt người dùng theo yêu cầu.
- Tạo Người dùng trong SAP HANA- chỉ người dùng cơ sở dữ liệu có đặc quyền ROLE ADMIN mới có thể tạo người dùng và vai trò trong SAP HANA.
Bước 1) Để tạo người dùng mới trong SAP HANA Studio, hãy chuyển đến tab bảo mật như hình dưới đây và làm theo các bước sau;
- Đi tới nút bảo mật.
- Chọn Người dùng (Nhấp chuột phải) -> Người dùng mới.
Bước 2) Màn hình tạo người dùng xuất hiện.
- Điền tên đăng nhập.
- Nhập mật khẩu cho người dùng.
- Đây là cơ chế xác thực, theo mặc định Tên người dùng / mật khẩu được sử dụng để xác thực.
Bằng cách nhấp vào 
nút triển khai người dùng sẽ được tạo.
2. Xác định và tạo vai trò
Vai trò là một tập hợp các đặc quyền có thể được cấp cho người dùng hoặc vai trò khác. Vai trò bao gồm các đặc quyền dành cho đối tượng & ứng dụng cơ sở dữ liệu và tùy thuộc vào bản chất của công việc.
Đó là một cơ chế tiêu chuẩn để cấp các đặc quyền. Các đặc quyền có thể được cấp trực tiếp cho người dùng. Có nhiều vai trò tiêu chuẩn (ví dụ: MÔ HÌNH hóa, THEO DÕI, v.v.) có sẵn trong cơ sở dữ liệu SAP HANA.
Chúng ta có thể sử dụng vai trò tiêu chuẩn làm mẫu để tạo vai trò tùy chỉnh.
Một vai trò có thể chứa các đặc quyền sau:
- Đặc quyền của Hệ thống cho nhiệm vụ quản trị và phát triển (ĐỌC CATALOGUE, AUDIT ADMIN, v.v.)
- Đặc quyền đối tượng cho các đối tượng cơ sở dữ liệu (CHỌN, CHÈN, XÓA, v.v.)
- Đặc quyền phân tích cho Chế độ xem thông tin SAP HANA
- Gói Đặc quyền trên các gói kho lưu trữ (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, v.v.)
- Đặc quyền ứng dụng cho các ứng dụng SAP HANA XS.
- Các đặc quyền đối với người dùng (Đối với Gỡ lỗi của thủ tục).
Tạo vai trò
Bước 1) Trong bước này,
- Đi tới nút Bảo mật trong Hệ thống SAP HANA.
- Chọn Role Node (Nhấp chuột phải) và chọn New Role.
Bước 2) Màn hình tạo vai trò sẽ hiển thị.
- Đặt tên vai trò trong Khối vai trò mới.
- Chọn tab Vai trò được Cấp và nhấp vào biểu tượng "+" để thêm Vai trò tiêu chuẩn hoặc vai trò thoát.
- Chọn Vai trò mong muốn (ví dụ: LÀM MÔ HÌNH, THEO DÕI, v.v.)
BƯỚC 3) Trong bước này,
- Vai trò đã chọn được thêm vào tab Vai trò được cấp.
- Đặc quyền có thể được chỉ định trực tiếp cho người dùng bằng cách chọn Đặc quyền hệ thống, Đặc quyền đối tượng, Đặc quyền phân tích, Đặc quyền gói, v.v.
- Nhấp vào biểu tượng triển khai để tạo Vai trò.
Đánh dấu vào tùy chọn "Có thể cấp cho người dùng và vai trò khác", nếu bạn muốn gán vai trò này cho người dùng và vai trò khác.
3. Cấp vai trò cho người dùng
BƯỚC 1) Trong bước này, chúng tôi sẽ Gán vai trò "MODELLING_VIEW" cho người dùng khác "ABHI_TEST".
- Đi tới nút phụ Người dùng trong nút Bảo mật và nhấp đúp vào nút đó. Cửa sổ người dùng sẽ hiển thị.
- Nhấp vào Vai trò được cấp "+" Biểu tượng.
- Một cửa sổ bật lên sẽ xuất hiện, tên Vai trò Tìm kiếm sẽ được chỉ định cho người dùng.
BƯỚC 2) Trong bước này, vai trò "MODELLING_VIEW" sẽ được thêm trong Vai trò.
BƯỚC 3) Trong bước này,
- Nhấp vào nút Triển khai.
- Thông báo "Người dùng 'ABHI_TEST" đã thay đổi được hiển thị.
4. Đặt lại mật khẩu người dùng
Nếu mật khẩu người dùng cần đặt lại, hãy chuyển đến nút phụ Người dùng trong nút Bảo mật và nhấp đúp vào nó. Cửa sổ người dùng sẽ hiển thị.
BƯỚC 1) Trong bước này,
- Nhập mật khẩu mới.
- Nhập Xác nhận mật khẩu.
BƯỚC 2) Trong bước này,
- Nhấp vào nút Triển khai.
- Thông báo "Người dùng 'ABHI_TEST" đã thay đổi được hiển thị.
5. Kích hoạt lại / Hủy kích hoạt người dùng
Đi tới nút phụ Người dùng trong nút Bảo mật và nhấp đúp vào nút đó. Cửa sổ người dùng sẽ hiển thị.
Có biểu tượng Hủy kích hoạt người dùng. Nhấn vào nó
Một thông báo xác nhận "Cửa sổ bật lên" sẽ xuất hiện. Nhấp vào nút 'Có'.
Thông báo "Người dùng 'ABHI_TEST' đã bị hủy kích hoạt" sẽ được hiển thị. Biểu tượng Hủy kích hoạt thay đổi với tên "Kích hoạt người dùng". Bây giờ chúng ta có thể kích hoạt người dùng từ cùng một biểu tượng.
Quản lý Giấy phép SAP HANA
Cần có khóa cấp phép để sử dụng Cơ sở dữ liệu SAP HANA. Có thể cài đặt và xóa khóa cấp phép bằng SAP HANA Studio, công cụ Dòng lệnh SAP HANA HDBSQL và trình soạn thảo Truy vấn SQL HANA.
Cơ sở dữ liệu SAP HANA hỗ trợ hai loại khóa cấp phép -
- Khóa cấp phép vĩnh viễn : Khóa cấp phép vĩnh viễn có giá trị cho đến ngày hết hạn. Chúng tôi cần yêu cầu và áp dụng khóa cấp phép trước khi hết hạn. Nếu khóa cấp phép hết hạn thì Khóa cấp phép tạm thời sẽ tự động được cài đặt trong 28 ngày.
- Khóa cấp phép tạm thời: Khóa này được tự động cài đặt với Cài đặt cơ sở dữ liệu SAP HANA mới. Nó có giá trị trong 90 ngày và sau đó có thể đăng ký khóa vĩnh viễn từ SAP.
Ủy quyền Quản lý Giấy phép
Đặc quyền "LICENSE ADMIN" là bắt buộc đối với Quản lý Giấy phép.
Kiểm toán SAP HANA
Các tính năng Kiểm toán của SAP HANA cho phép bạn theo dõi và ghi lại hành động được thực hiện trong Hệ thống SAP HANA. Tính năng này cần được kích hoạt cho hệ thống trước khi tạo chính sách kiểm toán.
Ủy quyền cho Kiểm toán SAP HANA
Hệ thống "AUDIT ADMIN" Các đặc quyền cần thiết cho Kiểm toán SAP HANA.
Tóm tắt :
Trong hướng dẫn này, chúng ta đã tìm hiểu chủ đề sau:
- Tổng quan về bảo mật SAP HANA.
- Xác thực SAP HANA chi tiết.
- Ủy quyền chi tiết của SAP HANA.
- Phương pháp quản trị người dùng SAP HANA.
- Phương pháp quản trị vai trò SAP HANA
- Giấy phép SAP HANA Quy trình quản lý.
- Quy trình kiểm toán vai trò của SAP HANA.