O que é Sap Hana Security?
O SAP HANA Security protege dados importantes contra acesso não autorizado e garante que os padrões e a conformidade atendam ao padrão de segurança adotado pela empresa.
SAP HANA fornece um recurso, ou seja, banco de dados multilocatário, no qual vários bancos de dados podem ser criados em um único sistema SAP HANA. É conhecido como contêiner de banco de dados multilocatário. Portanto, o SAP HANA fornece todos os recursos relacionados à segurança para todos os contêineres de banco de dados multilocatário.
SAP HANA fornece o seguinte recurso relacionado à segurança -
- Gerenciamento de usuários e funções
- Autorização
- Autenticação
- Criptografia de dados na camada de persistência
- Criptografia de dados na camada de rede
Usuário e função do SAP HANA
A configuração de gerenciamento de usuários e funções do SAP HANA depende da arquitetura abaixo -
- Arquitetura de 3 camadas.
SAP HANA pode ser usado como um banco de dados relacional em uma arquitetura de 3 camadas.
Nessa arquitetura, os recursos de segurança (autorização, autenticação, criptografia e auditoria) são instalados nas camadas do servidor de aplicativos.
O aplicativo SAP (ERP, BW, etc.) se conecta ao banco de dados apenas com a ajuda de um usuário técnico ou administrador do banco de dados (Pessoa de Base). O usuário final não pode acessar diretamente o banco de dados ou o servidor de banco de dados.
- Arquitetura de 2 camadas.
O SAP HANA Extended Application Services (SAP HANA XS) é baseado na arquitetura de 2 camadas, na qual o servidor de aplicativos, o servidor da Web e o ambiente de desenvolvimento são integrados em um único sistema.
Autenticação SAP HANA
O usuário do banco de dados identifica quem está acessando o banco de dados SAP HANA. É verificado através de um processo denominado "Autenticação". SAP HANA oferece suporte a muitos métodos de autenticação. O Single Sign-on (SSO) é usado para integrar vários métodos de autenticação.
SAP HANA suporta o seguinte método de autenticação -
- Kerberos: pode ser usado no seguinte caso -
- Diretamente do cliente JDBC e ODBC (SAP HANA Studio).
- Quando o HTTP é usado para acessar o SAP HANA XS.
- Usuário senha
Quando o usuário insere o nome de usuário e a senha do banco de dados, o banco de dados SAP HANA autentica o usuário.
- Linguagem de marcação para autorização de segurança (SAML)
O SAML pode ser usado para autenticar o usuário SAP HANA, que está acessando o banco de dados SAP HANA diretamente por meio de ODBC / JDBC. É um processo de mapeamento da identidade do usuário externo para o usuário do banco de dados interno, para que o usuário possa fazer o login no banco de dados sap com o ID do usuário externo.
- Tíquetes de logon e asserção SAP
O usuário pode ser autenticado por tickets de logon ou de asserção, que são configurados e emitidos para o usuário criar um ticket.
- Certificados de clientes X.509
Quando o SAP HANA XS Access por HTTP, os certificados do cliente assinados por uma autoridade de certificação (CA) confiável podem ser usados para autenticar o usuário.
Autorização SAP HANA
A autorização SAP HANA é necessária quando um usuário usa a interface do cliente (JDBC, ODBC ou HTTP) para acessar o banco de dados SAP HANA.
Dependendo da autorização fornecida ao usuário, ele pode executar operações de banco de dados no objeto de banco de dados. Essa autorização é chamada de "privilégios".
Os privilégios podem ser concedidos ao usuário direta ou indiretamente (por meio de funções). Todos os privilégios atribuídos aos usuários são combinados como uma única unidade.
Quando um usuário tenta acessar qualquer objeto de banco de dados SAP HANA, o sistema HANA executa a verificação de autorização do usuário por meio de funções de usuário e concede diretamente os privilégios.
Quando os Privilégios solicitados são encontrados, o sistema HANA ignora as verificações adicionais e concede acesso para solicitar objetos de banco de dados.
No SAP HANA, os seguintes privilégios são seus -
| Tipos de privilégios | Descrição |
| Privilégios do sistema | Ele controla a atividade normal do sistema. Os privilégios do sistema são usados principalmente para -
|
| Privilégios de objeto | Privilégios de objeto são privilégios de SQL usados para dar autorização para ler e modificar objetos de banco de dados. Para acessar objetos de banco de dados, o usuário precisa de privilégios de objeto em objetos de banco de dados ou no esquema no qual o objeto de banco de dados existe. Privilégios de objeto podem ser concedidos a objetos de catálogo (tabela, visão, etc.) ou objetos não-catálogo (objetos de desenvolvimento). Os privilégios do objeto são os seguintes -
|
| Privilégios analíticos | Os privilégios analíticos são usados para permitir o acesso de leitura aos dados do modelo de informações do SAP HANA (visão de atributo, visão analítica, visão de cálculo).
|
| Privilégios do pacote | Os privilégios de pacote são usados para fornecer autorização para ações em pacotes individuais no repositório SAP HANA. |
| Privilégios de aplicativo | Os privilégios de aplicativo são necessários no SAP HANA Extended Application Services (SAP HANA XS) para acessar o aplicativo. Os privilégios do aplicativo são concedidos e revogados por meio do procedimento proceduresGRANT_APPLICATION_PRIVILEGE e REVOKE_APPLICATION_PRIVILEGE no esquema _SYS_REPO. |
| Privilégios no usuário | É um privilégio SQL, que pode ser concedido pelo próprio usuário. ATTACH DEBUGGER é o único privilégio que pode ser concedido a um usuário. |
Administração de usuários e gerenciamento de funções do SAP HANA
Para acessar o banco de dados SAP HANA, são necessários usuários. Dependendo da política de segurança diferente, existem dois tipos de usuário no SAP HANA conforme abaixo -
- Usuário Técnica (DBA Usuário) - Ele é um usuário que diretamente o trabalho com banco de dados SAP HANA com privilégios necessários. Normalmente, esses usuários não são excluídos do banco de dados.
Esses usuários são criados para uma tarefa administrativa, como criar um objeto e conceder privilégios no objeto de banco de dados ou no aplicativo.
O sistema de banco de dados SAP HANA fornece o seguinte usuário por padrão como usuário padrão
- SISTEMA
- SYS
- _SYS_REPO
- Banco de dados ou usuário real: cada usuário que deseja trabalhar no banco de dados SAP HANA precisa de um usuário de banco de dados. O usuário do banco de dados é uma pessoa real que trabalha no SAP HANA.
Existem dois tipos de usuário de banco de dados, conforme abaixo -
| Tipo de usuário | Descrição | Função atribuída |
| Usuário comum | Este usuário pode criar objetos em um próprio esquema e ler dados nas visualizações do sistema. Usuário padrão criado com a instrução "CREATE USER". | A função PUBLIC é atribuída para ler visualizações do sistema. |
| Usuário restrito | O usuário restrito não tem acesso SQL completo por meio de um console SQL e é criado com a instrução "CREATE RESTRICTED USER". Se os privilégios forem necessários para o uso de qualquer aplicativo, eles serão fornecidos por meio da função.
| Função RESTRICTED_USER_ODBC_ACCESS ou RESTRICTED_USER_JDBC_ACCESS necessária ao usuário para acesso total da funcionalidade ODBC / JDBC |
O administrador do usuário SAP HANA tem acesso às seguintes atividades -
- Criar / excluir usuário.
- Definir e criar função.
- Conceda função ao usuário.
- Redefinindo a senha do usuário.
- Reative / desative o usuário de acordo com a necessidade.
- Criar usuário no SAP HANA - o usuário do banco de dados somente com privilégios ROLE ADMIN pode criar usuário e função no SAP HANA.
Etapa 1) Para criar um novo usuário no SAP HANA Studio, vá para a guia de segurança conforme mostrado abaixo e siga as etapas a seguir;
- Vá para o nó de segurança.
- Selecione Usuários (clique com o botão direito) -> Novo usuário.
Etapa 2) Uma tela de criação de usuário é exibida.
- Insira nome de usuário.
- Digite a senha do usuário.
- Estes são mecanismos de autenticação; por padrão, o nome de usuário / senha é usado para autenticação.
Ao clicar no 
botão de implantação, o usuário será criado.
2. Definir e criar função
Uma função é uma coleção de privilégios que podem ser concedidos a outros usuários ou funções. A função inclui privilégios para objeto e aplicativo de banco de dados e dependendo da natureza do trabalho.
É um mecanismo padrão para conceder privilégios. Os privilégios podem ser concedidos diretamente ao usuário. Existem muitas funções padrão (por exemplo, MODELAGEM, MONITORAMENTO, etc.) disponíveis no banco de dados SAP HANA.
Podemos usar a função padrão como modelo para a criação de uma função personalizada.
Uma função pode conter os seguintes privilégios -
- Privilégios de sistema para tarefas administrativas e de desenvolvimento (LEITURA DE CATÁLOGO, ADMINISTRAÇÃO DE AUDITORIA, etc.)
- Privilégios de objeto para objetos de banco de dados (SELECT, INSERT, DELETE, etc.)
- Privilégios analíticos para SAP HANA Information View
- Privilégios de pacote em pacotes de repositório (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
- Privilégios de aplicativo para aplicativos SAP HANA XS.
- Privilégios do usuário (para depuração do procedimento).
Criação de Papel
Etapa 1) Nesta etapa,
- Vá para o nó Segurança no sistema SAP HANA.
- Selecione Nó da função (clique com o botão direito) e selecione Nova função.
Etapa 2) Uma tela de criação de função é exibida.
- Dê o nome da função em Novo bloco de função.
- Selecione a guia Função concedida e clique no ícone "+" para adicionar a função padrão ou sair da função.
- Selecione a função desejada (por exemplo, MODELAGEM, MONITORAMENTO, etc.)
PASSO 3) Nesta etapa,
- A função selecionada é adicionada na guia Funções concedidas.
- Os privilégios podem ser atribuídos ao usuário diretamente selecionando Privilégios do sistema, Privilégios do objeto, Privilégios analíticos, Privilégios do pacote, etc.
- Clique no ícone de implantação para criar a função.
Marque a opção "Atribuível a outros usuários e funções", se quiser atribuir esta função a outro usuário e função.
3. Conceder função ao usuário
PASSO 1) Nesta etapa, iremos atribuir a função "MODELLING_VIEW" a outro usuário "ABHI_TEST".
- Vá para o subnó Usuário no nó Segurança e clique duas vezes nele. A janela do usuário será exibida.
- Clique no ícone Funções concedidas "+".
- Um pop-up aparecerá, o nome da função de pesquisa que será atribuído ao usuário.
ETAPA 2) Nesta etapa, a função "MODELLING_VIEW" será adicionada em Função.
PASSO 3) Nesta etapa,
- Clique no botão Implementar.
- Uma mensagem "User 'ABHI_TEST" alterado é exibida.
4. Redefinindo a senha do usuário
Se a senha do usuário precisar ser redefinida, vá para o subnó Usuário no nó Segurança e clique duas vezes nele. A janela do usuário será exibida.
PASSO 1) Nesta etapa,
- Insira a nova senha.
- Digite a senha de confirmação.
PASSO 2) Nesta etapa,
- Clique no botão Implementar.
- Uma mensagem "User 'ABHI_TEST" alterado é exibida.
5. Reativar / Desativar Usuário
Vá para o subnó Usuário no nó Segurança e clique duas vezes nele. A janela do usuário será exibida.
Existe o ícone Desativar usuário. Clique nisso
Uma mensagem de confirmação "Popup" aparecerá. Clique no botão 'Sim'.
Uma mensagem "Usuário 'ABHI_TEST' desativado" será exibida. O ícone Desativar muda com o nome "Ativar usuário". Agora podemos ativar o usuário a partir do mesmo ícone.
SAP HANA License Management
A chave de licença é necessária para usar o banco de dados SAP HANA. Uma chave de licença pode ser instalada e excluída usando SAP HANA Studio, ferramenta de linha de comando SAP HANA HDBSQL e editor de consultas HANA SQL.
O banco de dados SAP HANA oferece suporte a dois tipos de chave de licença -
- Chave de licença permanente : as chaves de licença permanentes são válidas até a data de expiração. Precisamos solicitar e aplicar a chave de licença antes de expirar. Se a chave de licença expirar, a chave de licença temporária será instalada automaticamente por 28 dias.
- Chave de licença temporária: é instalada automaticamente com uma nova instalação de banco de dados SAP HANA. É válido por 90 dias e mais tarde pode solicitar a chave permanente do SAP.
Autorização de gerenciamento de licenças
Os privilégios "LICENSE ADMIN" são necessários para o Gerenciamento de Licença.
Auditoria SAP HANA
Os recursos de auditoria do SAP HANA permitem que você monitore e registre as ações realizadas no sistema SAP HANA. Esses recursos devem ser ativados para o sistema antes de criar a política de auditoria.
Autorização para auditoria SAP HANA
Privilégios de sistema "AUDIT ADMIN" necessários para auditoria SAP HANA.
Resumo :
Neste tutorial, aprendemos o seguinte tópico -
- Visão geral de segurança do SAP HANA.
- SAP HANA Authentication em detalhes.
- Autorização SAP HANA em detalhes.
- Método de administração de usuário SAP HANA.
- Método de administração de funções SAP HANA
- Processo de gerenciamento de licenças SAP HANA.
- Processo de auditoria de funções do SAP HANA.
