Admin SAP HANA - Penyediaan Pengguna

Konfigurasi manajemen pengguna dan peran SAP HANA bergantung pada arsitektur sistem HANA Anda. Jika SAP HANA terintegrasi dengan alat platform BI dan bertindak sebagai database pelaporan, maka pengguna akhir dan peran tersebut akan dikelola di server aplikasi.

Jika pengguna akhir secara langsung terhubung ke database SAP HANA, maka pengguna dan peran dalam lapisan database sistem HANA diperlukan untuk pengguna akhir dan administrator.

Setiap pengguna yang ingin bekerja dengan database HANA harus memiliki pengguna database dengan hak istimewa yang diperlukan. Pengguna yang mengakses sistem HANA dapat menjadi pengguna teknis atau pengguna akhir tergantung pada persyaratan akses. Setelah berhasil masuk ke sistem, otorisasi pengguna untuk melakukan operasi yang diperlukan diverifikasi. Menjalankan operasi itu bergantung pada hak istimewa yang telah diberikan pengguna. Hak istimewa ini dapat diberikan menggunakan peran di HANA Security. HANA Studio adalah salah satu alat yang ampuh untuk mengelola pengguna dan peran untuk sistem database HANA.

Jenis Pengguna

Jenis pengguna berbeda-beda sesuai dengan kebijakan keamanan dan hak istimewa berbeda yang ditetapkan ke profil pengguna. Jenis pengguna dapat berupa pengguna database teknis atau pengguna akhir. Pengguna membutuhkan akses ke sistem HANA untuk melaporkan tujuan atau untuk manipulasi data.

Pengguna Standar

Pengguna standar adalah pengguna yang dapat membuat objek di Skema mereka sendiri dan memiliki akses Baca di model Informasi sistem. Akses baca disediakan oleh peran PUBLIK, yang ditetapkan untuk setiap pengguna standar.

Pengguna yang Dibatasi

Pengguna yang dibatasi adalah pengguna yang mengakses sistem HANA dengan beberapa aplikasi dan mereka tidak memiliki hak istimewa SQL pada sistem HANA. Saat pengguna ini dibuat, awalnya mereka tidak memiliki akses apa pun.

Jika kita membandingkan pengguna yang dibatasi dengan pengguna Standar -

  • Pengguna yang dibatasi tidak dapat membuat objek di database HANA atau Skema mereka sendiri.

  • Mereka tidak memiliki akses untuk melihat data apa pun dalam database karena mereka tidak memiliki peran Publik umum yang ditambahkan ke profil seperti pengguna standar.

  • Mereka dapat terhubung ke database HANA hanya menggunakan HTTP / HTTPS.

Administrasi Pengguna HANA dan Manajemen Peran

Pengguna basis data teknis hanya digunakan untuk tujuan administratif seperti membuat objek baru dalam basis data, memberikan hak istimewa kepada pengguna lain, pada paket, aplikasi, dll.

Aktivitas Administrasi Pengguna SAP HANA

Bergantung pada kebutuhan bisnis dan konfigurasi sistem HANA, ada aktivitas pengguna berbeda yang dapat dilakukan dengan menggunakan alat administrasi pengguna seperti HANA studio.

Aktivitas paling umum termasuk -

  • Buat pengguna
  • Berikan peran kepada pengguna
  • Tentukan dan buat peran
  • Hapus pengguna
  • Setel ulang kata sandi pengguna
  • Aktifkan kembali pengguna setelah terlalu banyak upaya masuk yang gagal
  • Nonaktifkan pengguna jika diperlukan

Buat Pengguna di HANA Studio

Hanya pengguna basis data dengan hak istimewa sistem ROLE ADMIN yang diizinkan untuk membuat pengguna dan peran di HANA Studio. Untuk membuat pengguna dan peran di HANA Studio, buka Konsol Administrator HANA. Anda akan melihat tab keamanan dalam tampilan Sistem.

Ketika Anda memperluas tab keamanan, itu memberikan opsi Pengguna dan Peran. Untuk membuat pengguna baru, klik kanan pada Pengguna dan pergi ke Pengguna Baru. Jendela baru akan terbuka di mana Anda menentukan parameter Pengguna dan Pengguna.

Masukkan nama pengguna (mandat) dan di bidang Otentikasi masukkan kata sandi. Kata sandi diterapkan saat menyimpan kata sandi untuk pengguna baru. Anda juga dapat memilih untuk membuat pengguna terbatas.

Nama peran yang ditentukan tidak boleh identik dengan nama pengguna atau peran yang sudah ada. Aturan kata sandi mencakup panjang kata sandi minimal dan definisi jenis karakter mana (bawah, atas, digit, karakter khusus) harus menjadi bagian dari kata sandi.

Metode otorisasi yang berbeda dapat dikonfigurasi seperti SAML, sertifikat X509, tiket SAP Logon, dll. Pengguna dalam database dapat diautentikasi dengan berbagai mekanisme -

  • Mekanisme otentikasi internal menggunakan kata sandi.

  • Mekanisme eksternal seperti Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket, atau X.509.

  • Seorang pengguna dapat diautentikasi dengan lebih dari satu mekanisme dalam satu waktu. Namun hanya satu kata sandi dan satu nama utama untuk Kerberos yang dapat valid pada satu waktu. Satu mekanisme otentikasi harus ditentukan untuk memungkinkan pengguna untuk terhubung dan bekerja dengan contoh database.

Ini juga memberikan opsi untuk menentukan validitas pengguna. Anda dapat menyebutkan interval validitas dengan memilih tanggal. Spesifikasi validitas adalah parameter pengguna opsional.

Ada beberapa pengguna yang secara default dikirim dengan database SAP HANA: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Setelah ini selesai, selanjutnya adalah menentukan hak istimewa untuk profil pengguna.

Jenis Hak Istimewa untuk Profil Pengguna

Ada berbagai jenis hak istimewa yang dapat ditambahkan ke profil pengguna.

Peran yang Diberikan

Ini digunakan untuk menambahkan peran sap.hana bawaan ke profil pengguna atau untuk menambahkan peran khusus yang dibuat di bawah tab Peran. Peran khusus memungkinkan Anda untuk menentukan peran sesuai persyaratan akses dan Anda dapat menambahkan peran ini langsung ke profil pengguna. Ini menghilangkan kebutuhan untuk mengingat dan menambahkan objek ke profil pengguna setiap kali untuk jenis akses yang berbeda.

Peran Publik

Ini adalah peran umum dan ditetapkan ke semua pengguna database secara default. Peran ini berisi akses hanya-baca ke tampilan sistem dan menjalankan hak istimewa untuk beberapa prosedur. Peran ini tidak dapat dicabut.

Pemodelan

Ini berisi semua hak istimewa yang diperlukan untuk menggunakan pemodel informasi di studio SAP HANA.

Hak Istimewa Sistem

Ada berbagai jenis hak istimewa Sistem yang dapat ditambahkan ke profil pengguna. Untuk menambahkan hak istimewa sistem ke profil pengguna, klik tanda (+).

Hak istimewa sistem digunakan untuk Backup / Restore, Administrasi Pengguna, Instance start dan stop, dll.

Admin Konten

Ini berisi hak istimewa yang sama seperti dalam peran PEMODELAN, tetapi dengan tambahan peran ini diizinkan untuk memberikan hak istimewa ini kepada pengguna lain. Ini juga berisi hak repositori untuk bekerja dengan objek yang diimpor.

Admin Data

Ini adalah jenis hak istimewa lain yang diperlukan untuk menambahkan Data dari objek ke profil pengguna.

Berikut adalah beberapa Hak Istimewa Sistem umum yang didukung -

ATTACH DEBUGGER- Mengotorisasi debugging panggilan prosedur, yang dipanggil oleh pengguna lain. Selain itu, diperlukan hak istimewa DEBUG untuk prosedur terkait.

AUDIT ADMIN- Mengontrol pelaksanaan perintah terkait audit berikut: BUAT KEBIJAKAN AUDIT, LEPAS KEBIJAKAN AUDIT dan ALTER KEBIJAKAN AUDIT serta perubahan konfigurasi audit. Juga memungkinkan akses ke tampilan sistem AUDIT_LOG.

AUDIT OPERATOR- Mengotorisasi eksekusi perintah berikut: ALTER SYSTEM CLEAR AUDIT LOG. Juga memungkinkan akses ke tampilan sistem AUDIT_LOG.

BACKUP ADMIN - Memberi otorisasi perintah BACKUP dan RECOVERY untuk menentukan dan memulai prosedur pencadangan dan pemulihan.

BACKUP OPERATOR - Mengotorisasi perintah BACKUP untuk memulai proses pencadangan.

CATALOG READ- Memberi otorisasi kepada pengguna untuk memiliki akses baca-saja tanpa filter ke semua tampilan sistem. Biasanya, konten tampilan ini difilter berdasarkan hak istimewa pengguna yang mengakses.

CREATE SCHEMA- Mengizinkan pembuatan skema database menggunakan perintah CREATE SCHEMA. Secara default, setiap pengguna memiliki satu skema. Dengan hak istimewa ini, pengguna diizinkan untuk membuat skema tambahan.

CREATE STRUCTURED PRIVILEGE- Mengotorisasi pembuatan Hak Istimewa Terstruktur (Hak Istimewa Analitis). Hanya pemilik Hak Istimewa Analitik yang selanjutnya dapat memberikan atau mencabut hak istimewa tersebut kepada pengguna atau peran lain.

CREDENTIAL ADMIN - Otorisasi perintah kredensial: CREATE / ALTER / DROP CREDENTIAL.

DATA ADMIN- Otorisasi membaca semua data dalam tampilan sistem. Ini juga memungkinkan eksekusi perintah Data Definition Language (DDL) apa pun dalam database SAP HANA. Pengguna yang memiliki hak istimewa ini tidak dapat memilih atau mengubah tabel data yang disimpan yang hak aksesnya tidak mereka miliki, tetapi mereka dapat menghapus tabel atau mengubah definisi tabel.

DATABASE ADMIN - Mengotorisasi semua perintah yang terkait dengan database dalam multi-database, seperti BUAT, LEPAS, ALTER, GANTI NAMA, BACKUP, PEMULIHAN.

EXPORT- Mengizinkan aktivitas ekspor dalam database melalui perintah TABEL EKSPOR. Perhatikan bahwa selain hak istimewa ini, pengguna memerlukan hak istimewa SELECT pada tabel sumber untuk diekspor.

IMPORT- Otorisasi aktivitas impor dalam database menggunakan perintah IMPORT. Perhatikan bahwa selain hak istimewa ini, pengguna memerlukan hak istimewa SISIPKAN pada tabel target untuk diimpor.

INIFILE ADMIN - Mengizinkan perubahan pengaturan sistem.

LICENSE ADMIN - Otorisasi perintah SET SYSTEM LICENSE untuk menginstal lisensi baru.

LOG ADMIN - Mengotorisasi perintah ALTER SYSTEM LOGGING [ON | OFF] untuk mengaktifkan atau menonaktifkan mekanisme log flush.

MONITOR ADMIN - Mengotorisasi perintah ALTER SYSTEM untuk ACARA.

OPTIMIZER ADMIN - Mengotorisasi perintah ALTER SYSTEM mengenai perintah SQL PLAN CACHE dan ALTER SYSTEM UPDATE STATISTICS, yang memengaruhi perilaku pengoptimal kueri.

RESOURCE ADMIN- Otorisasi perintah tentang sumber daya sistem. Misalnya, ALTER SYSTEM RECLAIM DATAVOLUME dan ALTER SYSTEM RESET MONITORING VIEW. Itu juga mengotorisasi banyak perintah yang tersedia di Konsol Manajemen.

ROLE ADMIN- Mengizinkan pembuatan dan penghapusan peran menggunakan perintah CREATE ROLE dan DROP ROLE. Itu juga mengotorisasi pemberian dan pencabutan peran menggunakan perintah GRANT dan REVOKE.

Peran yang diaktifkan, artinya peran yang penciptanya adalah pengguna yang ditentukan sebelumnya _SYS_REPO, tidak dapat diberikan kepada peran atau pengguna lain atau langsung diturunkan. Pengguna yang memiliki hak istimewa ROLE ADMIN juga tidak dapat melakukannya. Silakan periksa dokumentasi tentang objek yang diaktifkan.

SAVEPOINT ADMIN - Mengotorisasi eksekusi proses savepoint menggunakan perintah ALTER SYSTEM SAVEPOINT.

Komponen database SAP HANA dapat membuat hak istimewa sistem baru. Hak istimewa ini menggunakan nama komponen sebagai pengenal pertama dari hak istimewa sistem dan nama komponenprivil sebagai pengenal kedua.

Hak Istimewa Objek / SQL

Hak istimewa objek juga dikenal sebagai hak istimewa SQL. Hak istimewa ini digunakan untuk mengizinkan akses ke objek seperti Pilih, Sisipkan, Perbarui dan Hapus tabel, Tampilan, atau Skema.

Berikut adalah jenis Hak Istimewa Objek -

  • Hak istimewa objek pada objek database yang hanya ada saat runtime.

  • Hak istimewa objek pada objek aktif yang dibuat di repositori, seperti tampilan kalkulasi.

  • Hak istimewa objek pada skema yang berisi objek aktif yang dibuat di repositori.

  • Hak Istimewa Objek / SQL adalah kumpulan semua hak istimewa DDL dan DML pada objek database.

Berikut adalah beberapa Hak Istimewa Objek yang umumnya didukung -

Ada beberapa objek database dalam database HANA, jadi tidak semua hak istimewa berlaku untuk semua jenis objek database.

Hak Istimewa Objek dan penerapannya pada objek database.

Hak Istimewa Analitik di Profil Pengguna

Terkadang diperlukan bahwa data dalam tampilan yang sama tidak boleh diakses oleh pengguna lain yang tidak memiliki persyaratan yang relevan untuk data tersebut.

Hak istimewa analitik digunakan untuk membatasi akses pada Tampilan Informasi HANA di tingkat objek. Kita dapat menerapkan keamanan tingkat baris dan kolom di Hak Istimewa Analitik.

Hak Istimewa Analitik digunakan untuk -

  • Alokasi tingkat keamanan baris dan kolom untuk kisaran nilai tertentu
  • Alokasi keamanan tingkat baris dan kolom untuk tampilan pemodelan

Hak Istimewa Paket

Di repositori SAP HANA, Anda dapat mengatur otorisasi paket untuk pengguna tertentu atau untuk sebuah peran. Hak istimewa paket digunakan untuk mengizinkan akses ke model data - tampilan Analitik atau Perhitungan atau ke objek Repositori. Semua hak istimewa yang diberikan ke paket repositori juga ditetapkan ke semua sub paket. Anda juga dapat menyebutkan apakah otorisasi pengguna yang ditetapkan dapat diteruskan ke pengguna lain.

Langkah-langkah untuk menambahkan hak paket ke profil Pengguna -

  • Step 1- Klik tab Package privilege di HANA studio di bawah User creation → Pilih (+) untuk menambahkan satu atau lebih paket. Gunakan tombol Ctrl untuk memilih beberapa paket.

  • Step 2 - Dalam dialog Select Repository Package, gunakan semua atau sebagian dari nama paket untuk mencari paket repositori yang ingin Anda beri otorisasi aksesnya.

  • Step 3 - Pilih satu atau lebih paket repositori yang ingin Anda beri otorisasi aksesnya, paket yang dipilih muncul di tab Package Privileges.

Hak istimewa hibah berikut digunakan pada paket repositori untuk memberi otorisasi kepada pengguna untuk mengubah objek -

  • REPO.READ - Akses baca ke paket yang dipilih dan objek waktu desain (baik asli maupun impor)

  • REPO.EDIT_NATIVE_OBJECTS - Otorisasi untuk memodifikasi objek dalam paket

  • Grantable to Others

Jika Anda memilih 'Ya' untuk ini, ini memungkinkan otorisasi pengguna yang ditetapkan untuk diteruskan ke pengguna lain.

Hak Istimewa Aplikasi

Hak istimewa aplikasi di profil pengguna yang digunakan untuk menentukan otorisasi untuk akses ke aplikasi HANA XS. Ini dapat ditetapkan ke pengguna individu atau sekelompok pengguna. Hak istimewa aplikasi juga dapat digunakan untuk menyediakan tingkat akses yang berbeda ke aplikasi yang sama seperti untuk menyediakan fungsi lanjutan untuk administrator basis data dan akses hanya baca untuk pengguna normal.

Untuk menentukan hak khusus Aplikasi di profil pengguna atau untuk menambahkan sekelompok pengguna, hak istimewa berikut harus digunakan -

  • File hak istimewa aplikasi (.xsprivileges)
  • File akses aplikasi (.xsaccess)
  • File definisi peran (<RoleName> .hdbrole)