SAP HANA Admin - Benutzerbereitstellung

Die Konfiguration des SAP HANA-Benutzer- und Rollenmanagements hängt von der Architektur Ihres HANA-Systems ab. Wenn SAP HANA in BI-Plattform-Tools integriert ist und als Berichtsdatenbank fungiert, werden der Endbenutzer und die Rolle auf dem Anwendungsserver verwaltet.

Wenn der Endbenutzer eine direkte Verbindung zur SAP-HANA-Datenbank herstellt, sind der Benutzer und die Rolle in der Datenbankebene des HANA-Systems sowohl für Endbenutzer als auch für Administratoren erforderlich.

Jeder Benutzer, der mit der HANA-Datenbank arbeiten möchte, muss über einen Datenbankbenutzer mit den erforderlichen Berechtigungen verfügen. Benutzer, die auf das HANA-System zugreifen, können je nach Zugriffsanforderung entweder ein technischer Benutzer oder ein Endbenutzer sein. Nach erfolgreicher Anmeldung am System wird die Berechtigung des Benutzers zur Ausführung des erforderlichen Vorgangs überprüft. Die Ausführung dieses Vorgangs hängt von den Berechtigungen ab, die dem Benutzer gewährt wurden. Diese Berechtigungen können mithilfe von Rollen in HANA Security gewährt werden. HANA Studio ist eines der leistungsstarken Tools zum Verwalten des Benutzers und der Rollen für das HANA-Datenbanksystem.

Benutzertypen

Die Benutzertypen variieren je nach Sicherheitsrichtlinien und unterschiedlichen Berechtigungen, die dem Benutzerprofil zugewiesen sind. Der Benutzertyp kann ein Benutzer einer technischen Datenbank oder ein Endbenutzer sein. Der Benutzer benötigt Zugriff auf das HANA-System, um den Zweck zu melden oder Daten zu manipulieren.

Standardbenutzer

Standardbenutzer sind Benutzer, die Objekte in ihren eigenen Schemas erstellen und in den Systeminformationsmodellen Lesezugriff haben können. Der Lesezugriff wird durch die PUBLIC-Rolle bereitgestellt, die jedem Standardbenutzer zugewiesen ist.

Eingeschränkte Benutzer

Eingeschränkte Benutzer sind Benutzer, die mit einigen Anwendungen auf das HANA-System zugreifen und auf dem HANA-System keine SQL-Berechtigungen haben. Wenn diese Benutzer erstellt werden, haben sie zunächst keinen Zugriff.

Wenn wir eingeschränkte Benutzer mit Standardbenutzern vergleichen -

  • Eingeschränkte Benutzer können keine Objekte in der HANA-Datenbank oder in ihren eigenen Schemas erstellen.

  • Sie haben keinen Zugriff auf die Anzeige von Daten in der Datenbank, da sie keine generische öffentliche Rolle wie Standardbenutzer zum Profil hinzugefügt haben.

  • Sie können nur über HTTP / HTTPS eine Verbindung zur HANA-Datenbank herstellen.

HANA-Benutzerverwaltung und Rollenverwaltung

Benutzer technischer Datenbanken werden nur zu Verwaltungszwecken verwendet, z. B. zum Erstellen neuer Objekte in der Datenbank, zum Zuweisen von Berechtigungen an andere Benutzer, für Pakete, Anwendungen usw.

SAP HANA User Administration Aktivitäten

Abhängig von den Geschäftsanforderungen und der Konfiguration des HANA-Systems können verschiedene Benutzeraktivitäten mit Benutzerverwaltungstools wie HANA Studio ausgeführt werden.

Die häufigsten Aktivitäten umfassen -

  • Benutzer erstellen
  • Gewähren Sie Benutzern Rollen
  • Rollen definieren und erstellen
  • Benutzer löschen
  • Benutzerpasswörter zurücksetzen
  • Reaktivieren Sie Benutzer nach zu vielen fehlgeschlagenen Anmeldeversuchen
  • Deaktivieren Sie Benutzer, wenn dies erforderlich ist

Erstellen Sie Benutzer in HANA Studio

Nur Datenbankbenutzer mit der Systemberechtigung ROLE ADMIN dürfen Benutzer und Rollen in HANA Studio erstellen. Wechseln Sie zum Erstellen von Benutzern und Rollen in HANA Studio zur HANA-Administratorkonsole. Sie sehen die Registerkarte Sicherheit in der Systemansicht.

Wenn Sie die Registerkarte Sicherheit erweitern, erhalten Sie die Option Benutzer und Rollen. Um einen neuen Benutzer zu erstellen, klicken Sie mit der rechten Maustaste auf den Benutzer und gehen Sie zu Neuer Benutzer. Ein neues Fenster wird geöffnet, in dem Sie Benutzer und Benutzerparameter definieren.

Geben Sie den Benutzernamen (Mandat) ein und geben Sie im Feld Authentifizierung das Passwort ein. Das Kennwort wird beim Speichern des Kennworts für einen neuen Benutzer angewendet. Sie können auch einen eingeschränkten Benutzer erstellen.

Der angegebene Rollenname darf nicht mit dem Namen eines vorhandenen Benutzers oder einer vorhandenen Rolle identisch sein. Die Passwortregeln enthalten eine minimale Passwortlänge und eine Definition, welche Zeichentypen (untere, obere, Ziffer, Sonderzeichen) Teil des Passworts sein müssen.

Es können verschiedene Autorisierungsmethoden wie SAML, X509-Zertifikate, SAP-Anmeldeticket usw. konfiguriert werden. Benutzer in der Datenbank können durch verschiedene Mechanismen authentifiziert werden.

  • Interner Authentifizierungsmechanismus unter Verwendung eines Passworts.

  • Externe Mechanismen wie Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket oder X.509.

  • Ein Benutzer kann durch mehr als einen Mechanismus gleichzeitig authentifiziert werden. Es kann jedoch immer nur ein Kennwort und ein Hauptname für Kerberos gültig sein. Ein Authentifizierungsmechanismus muss angegeben werden, damit der Benutzer eine Verbindung zur Datenbankinstanz herstellen und mit dieser arbeiten kann.

Es gibt auch eine Option zum Definieren der Gültigkeit des Benutzers. Sie können das Gültigkeitsintervall angeben, indem Sie die Daten auswählen. Die Gültigkeitsspezifikation ist ein optionaler Benutzerparameter.

Es gibt einige Benutzer, die standardmäßig mit der SAP-HANA-Datenbank geliefert werden: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Sobald dies erledigt ist, müssen Sie als Nächstes die Berechtigungen für das Benutzerprofil definieren.

Arten von Berechtigungen für das Benutzerprofil

Es gibt verschiedene Arten von Berechtigungen, die dem Benutzerprofil hinzugefügt werden können.

Zugelassene Rolle

Dies wird verwendet, um dem Benutzerprofil integrierte sap.hana-Rollen hinzuzufügen oder um benutzerdefinierte Rollen hinzuzufügen, die auf der Registerkarte Rollen erstellt wurden. Mit benutzerdefinierten Rollen können Sie Rollen gemäß den Zugriffsanforderungen definieren und diese Rollen direkt zum Benutzerprofil hinzufügen. Dadurch entfällt die Notwendigkeit, sich jedes Mal Objekte für verschiedene Zugriffstypen zu merken und einem Benutzerprofil hinzuzufügen.

Öffentliche Rolle

Dies ist eine generische Rolle und wird standardmäßig allen Datenbankbenutzern zugewiesen. Diese Rolle enthält schreibgeschützten Zugriff auf Systemansichten und Ausführungsberechtigungen für einige Prozeduren. Diese Rollen können nicht widerrufen werden.

Modellieren

Es enthält alle Berechtigungen, die für die Verwendung des Informationsmodellierers im SAP HANA Studio erforderlich sind.

Systemberechtigungen

Es gibt verschiedene Arten von Systemberechtigungen, die einem Benutzerprofil hinzugefügt werden können. Klicken Sie auf das Zeichen (+), um einem Benutzerprofil Systemberechtigungen hinzuzufügen.

Systemberechtigungen werden für das Sichern / Wiederherstellen, die Benutzerverwaltung, das Starten und Stoppen von Instanzen usw. verwendet.

Inhaltsadministrator

Es enthält ähnliche Berechtigungen wie die Rolle MODELING, jedoch mit dem Zusatz, dass diese Rolle diese Berechtigungen anderen Benutzern gewähren darf. Es enthält auch die Repository-Berechtigungen für die Arbeit mit importierten Objekten.

Datenadministrator

Dies ist eine weitere Art von Berechtigung, die zum Hinzufügen von Daten aus den Objekten zum Benutzerprofil erforderlich ist.

Im Folgenden finden Sie einige häufig unterstützte Systemberechtigungen:

ATTACH DEBUGGER- Autorisiert das Debuggen eines Prozeduraufrufs, der von einem anderen Benutzer aufgerufen wird. Zusätzlich wird das DEBUG-Privileg für die entsprechende Prozedur benötigt.

AUDIT ADMIN- Steuert die Ausführung der folgenden prüfungsbezogenen Befehle: CREATE AUDIT POLICY, DROP AUDIT POLICY und ALTER AUDIT POLICY sowie die Änderungen der Überwachungskonfiguration. Ermöglicht auch den Zugriff auf die Systemansicht AUDIT_LOG.

AUDIT OPERATOR- Autorisiert die Ausführung des folgenden Befehls: ALTER SYSTEM CLEAR AUDIT LOG. Ermöglicht auch den Zugriff auf die Systemansicht AUDIT_LOG.

BACKUP ADMIN - Autorisiert die Befehle BACKUP und RECOVERY zum Definieren und Initiieren von Sicherungs- und Wiederherstellungsverfahren.

BACKUP OPERATOR - Autorisiert den Befehl BACKUP, einen Sicherungsvorgang zu starten.

CATALOG READ- Berechtigt die Benutzer, ungefilterten Lesezugriff auf alle Systemansichten zu haben. Normalerweise wird der Inhalt dieser Ansichten basierend auf den Berechtigungen des zugreifenden Benutzers gefiltert.

CREATE SCHEMA- Autorisiert die Erstellung von Datenbankschemata mit dem Befehl CREATE SCHEMA. Standardmäßig besitzt jeder Benutzer ein Schema. Mit dieser Berechtigung kann der Benutzer zusätzliche Schemas erstellen.

CREATE STRUCTURED PRIVILEGE- Autorisiert die Erstellung strukturierter Berechtigungen (analytische Berechtigungen). Nur der Eigentümer eines analytischen Privilegs kann dieses Privileg anderen Benutzern oder Rollen weiter gewähren oder widerrufen.

CREDENTIAL ADMIN - Autorisiert die Anmeldeinformationsbefehle: CREATE / ALTER / DROP CREDENTIAL.

DATA ADMIN- Autorisiert das Lesen aller Daten in den Systemansichten. Es ermöglicht auch die Ausführung von DDL-Befehlen (Data Definition Language) in der SAP-HANA-Datenbank. Ein Benutzer mit dieser Berechtigung kann keine in Daten gespeicherten Tabellen auswählen oder ändern, für die er keine Zugriffsberechtigungen hat. Er kann jedoch Tabellen löschen oder Tabellendefinitionen ändern.

DATABASE ADMIN - Autorisiert alle Befehle, die sich auf Datenbanken in einer Multi-Datenbank beziehen, wie z. B. CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.

EXPORT- Autorisiert die Exportaktivität in der Datenbank über den Befehl EXPORT TABLE. Beachten Sie, dass der Benutzer neben dieser Berechtigung die SELECT-Berechtigung für die zu exportierenden Quelltabellen benötigt.

IMPORT- Autorisiert die Importaktivität in der Datenbank mithilfe der IMPORT-Befehle. Beachten Sie, dass der Benutzer neben dieser Berechtigung die INSERT-Berechtigung für die Zieltabellen importieren muss.

INIFILE ADMIN - Autorisiert das Ändern von Systemeinstellungen.

LICENSE ADMIN - Berechtigt den Befehl SET SYSTEM LICENSE, eine neue Lizenz zu installieren.

LOG ADMIN - Autorisiert die Befehle ALTER SYSTEM LOGGING [ON | OFF] zum Aktivieren oder Deaktivieren des Protokollspülmechanismus.

MONITOR ADMIN - Autorisiert die ALTER SYSTEM-Befehle für EVENTs.

OPTIMIZER ADMIN - Autorisiert die Befehle ALTER SYSTEM für die Befehle SQL PLAN CACHE und ALTER SYSTEM UPDATE STATISTICS, die das Verhalten des Abfrageoptimierers beeinflussen.

RESOURCE ADMIN- Autorisiert Befehle bezüglich Systemressourcen. Beispiel: ALTER SYSTEM RECLAIM DATAVOLUME und ALTER SYSTEM RESET MONITORING VIEW. Außerdem werden viele der in der Verwaltungskonsole verfügbaren Befehle autorisiert.

ROLE ADMIN- Autorisiert das Erstellen und Löschen von Rollen mit den Befehlen CREATE ROLE und DROP ROLE. Es autorisiert auch das Gewähren und Widerrufen von Rollen mit den Befehlen GRANT und REVOKE.

Aktivierte Rollen, dh Rollen, deren Ersteller der vordefinierte Benutzer _SYS_REPO ist, können weder anderen Rollen oder Benutzern gewährt noch direkt gelöscht werden. Benutzer mit der Berechtigung ROLE ADMIN können dies ebenfalls nicht. Bitte überprüfen Sie die Dokumentation zu aktivierten Objekten.

SAVEPOINT ADMIN - Autorisiert die Ausführung eines Sicherungspunktprozesses mit dem Befehl ALTER SYSTEM SAVEPOINT.

Komponenten der SAP-HANA-Datenbank können neue Systemberechtigungen erstellen. Diese Berechtigungen verwenden den Komponentennamen als erste Kennung der Systemberechtigung und den Namen der Komponentenberechtigung als zweite Kennung.

Objekt- / SQL-Berechtigungen

Objektberechtigungen werden auch als SQL-Berechtigungen bezeichnet. Diese Berechtigungen werden verwendet, um den Zugriff auf Objekte wie Auswählen, Einfügen, Aktualisieren und Löschen von Tabellen, Ansichten oder Schemas zu ermöglichen.

Im Folgenden sind die Arten von Objektberechtigungen aufgeführt:

  • Objektberechtigung für Datenbankobjekte, die nur zur Laufzeit vorhanden sind.

  • Objektberechtigungen für aktivierte Objekte, die im Repository erstellt wurden, z. B. Berechnungsansichten.

  • Objektberechtigung für ein Schema mit aktivierten Objekten, die im Repository erstellt wurden.

  • Objekt- / SQL-Berechtigungen sind eine Sammlung aller DDL- und DML-Berechtigungen für Datenbankobjekte.

Im Folgenden finden Sie einige häufig unterstützte Objektberechtigungen:

Die HANA-Datenbank enthält mehrere Datenbankobjekte, sodass nicht alle Berechtigungen für alle Arten von Datenbankobjekten gelten.

Objektberechtigungen und ihre Anwendbarkeit auf Datenbankobjekte.

Analyseberechtigungen im Benutzerprofil

Manchmal ist es erforderlich, dass Daten in derselben Ansicht nicht für andere Benutzer zugänglich sind, die keine relevanten Anforderungen für diese Daten haben.

Analyseberechtigungen werden verwendet, um den Zugriff auf HANA-Informationsansichten auf Objektebene zu beschränken. Wir können die Sicherheit auf Zeilen- und Spaltenebene in Analyseberechtigungen anwenden.

Analyseberechtigungen werden verwendet für -

  • Zuweisung der Sicherheit auf Zeilen- und Spaltenebene für einen bestimmten Wertebereich
  • Zuweisung der Sicherheit auf Zeilen- und Spaltenebene für die Modellierung von Ansichten

Paketberechtigungen

Im SAP-HANA-Repository können Sie Paketberechtigungen für einen bestimmten Benutzer oder eine Rolle festlegen. Paketberechtigungen werden verwendet, um den Zugriff auf Datenmodelle zu ermöglichen - Analyse- oder Berechnungsansichten oder auf Repository-Objekte. Alle Berechtigungen, die einem Repository-Paket zugewiesen sind, werden auch allen Unterpaketen zugewiesen. Sie können auch angeben, ob die zugewiesenen Benutzerberechtigungen an andere Benutzer weitergegeben werden können.

Schritte zum Hinzufügen von Paketberechtigungen zum Benutzerprofil -

  • Step 1- Klicken Sie in HANA Studio unter Benutzererstellung → Wählen Sie (+) auf die Registerkarte Paketberechtigung, um ein oder mehrere Pakete hinzuzufügen. Verwenden Sie die Strg-Taste, um mehrere Pakete auszuwählen.

  • Step 2 - Verwenden Sie im Dialogfeld "Repository-Paket auswählen" den Paketnamen ganz oder teilweise, um das Repository-Paket zu suchen, auf das Sie den Zugriff autorisieren möchten.

  • Step 3 - Wählen Sie ein oder mehrere Repository-Pakete aus, auf die Sie den Zugriff autorisieren möchten. Die ausgewählten Pakete werden auf der Registerkarte Paketberechtigungen angezeigt.

Die folgenden Berechtigungen werden für Repository-Pakete verwendet, um den Benutzer zum Ändern der Objekte zu autorisieren:

  • REPO.READ - Lesezugriff auf die ausgewählten Paket- und Entwurfszeitobjekte (sowohl native als auch importierte)

  • REPO.EDIT_NATIVE_OBJECTS - Berechtigung zum Ändern von Objekten in Paketen

  • Grantable to Others

Wenn Sie hierfür "Ja" wählen, kann die zugewiesene Benutzerberechtigung an die anderen Benutzer weitergegeben werden.

Anwendungsberechtigungen

Anwendungsberechtigungen in einem Benutzerprofil, mit denen die Berechtigung für den Zugriff auf die HANA XS-Anwendung definiert wird. Dies kann einem einzelnen Benutzer oder einer Gruppe von Benutzern zugewiesen werden. Anwendungsberechtigungen können auch verwendet werden, um unterschiedliche Zugriffsebenen auf dieselbe Anwendung bereitzustellen, z. B. um erweiterte Funktionen für Datenbankadministratoren und schreibgeschützten Zugriff für normale Benutzer bereitzustellen.

Um anwendungsspezifische Berechtigungen in einem Benutzerprofil zu definieren oder eine Gruppe von Benutzern hinzuzufügen, sollten die folgenden Berechtigungen verwendet werden:

  • Datei mit Anwendungsberechtigungen (.xsprivileges)
  • Anwendungszugriffsdatei (.xsaccess)
  • Rollendefinitionsdatei (<Rollenname> .hdbrole)