Administrasi Pengguna & Manajemen Peran

Pengguna database teknis digunakan hanya untuk tujuan administratif seperti membuat objek baru dalam database, memberikan hak istimewa kepada pengguna lain, pada paket, aplikasi, dll.

Aktivitas Administrasi Pengguna SAP HANA

Bergantung pada kebutuhan bisnis dan konfigurasi sistem HANA, ada berbagai aktivitas pengguna yang dapat dilakukan menggunakan alat administrasi pengguna seperti HANA studio.

Aktivitas paling umum termasuk -

  • Buat Pengguna
  • Berikan peran kepada pengguna
  • Tentukan dan Buat Peran
  • Menghapus Pengguna
  • Mengatur ulang kata sandi pengguna
  • Mengaktifkan kembali pengguna setelah terlalu banyak upaya masuk yang gagal
  • Menonaktifkan pengguna saat diperlukan

Bagaimana cara membuat Pengguna di HANA Studio?

Hanya pengguna database dengan hak istimewa sistem ROLE ADMIN yang diizinkan untuk membuat pengguna dan peran di studio HANA. Untuk membuat pengguna dan peran di studio HANA, buka Konsol Administrator HANA. Anda akan melihat tab keamanan dalam tampilan Sistem -

Ketika Anda memperluas tab keamanan, itu memberi opsi Pengguna dan Peran. Untuk membuat pengguna baru, klik kanan Pengguna dan buka Pengguna Baru. Jendela baru akan terbuka di mana Anda menentukan parameter Pengguna dan Pengguna.

Masukkan Nama pengguna (mandat) dan di bidang Otentikasi masukkan kata sandi. Kata sandi diterapkan, sambil menyimpan kata sandi untuk pengguna baru. Anda juga dapat memilih untuk membuat pengguna terbatas.

Nama peran yang ditentukan tidak boleh identik dengan nama pengguna atau peran yang sudah ada. Aturan kata sandi mencakup panjang kata sandi minimal dan definisi jenis karakter mana (bawah, atas, digit, karakter khusus) harus menjadi bagian dari kata sandi.

Metode Otorisasi yang berbeda dapat dikonfigurasi seperti SAML, sertifikat X509, tiket SAP Logon, dll. Pengguna dalam database dapat diautentikasi dengan berbagai mekanisme -

Mekanisme otentikasi internal menggunakan kata sandi.

Mekanisme eksternal seperti Kerberos, SAML, Tiket Masuk SAP, Tiket Pernyataan SAP, atau X.509.

Seorang pengguna dapat diautentikasi dengan lebih dari satu mekanisme dalam satu waktu. Namun, hanya satu kata sandi dan satu nama utama untuk Kerberos yang dapat valid pada satu waktu. Satu mekanisme otentikasi harus ditentukan untuk memungkinkan pengguna untuk terhubung dan bekerja dengan contoh database.

Ini juga memberikan opsi untuk menentukan validitas pengguna, Anda dapat menyebutkan interval validitas dengan memilih tanggal. Spesifikasi validitas adalah parameter pengguna opsional.

Beberapa pengguna yang, secara default, dikirim dengan database SAP HANA adalah - SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Setelah ini selesai, langkah selanjutnya adalah menentukan hak istimewa untuk profil pengguna. Ada berbagai jenis hak istimewa yang dapat ditambahkan ke profil pengguna.

Peran yang Diberikan kepada Pengguna

Ini digunakan untuk menambahkan peran SAP.HANA inbuilt ke profil pengguna atau untuk menambahkan peran khusus yang dibuat di bawah tab Peran. Peran khusus memungkinkan Anda untuk menentukan peran sesuai persyaratan akses dan Anda dapat menambahkan peran ini langsung ke profil pengguna. Ini menghilangkan kebutuhan untuk mengingat dan menambahkan objek ke profil pengguna setiap kali untuk jenis akses yang berbeda.

PUBLIC- Ini adalah peran Generik dan ditetapkan ke semua pengguna database secara default. Peran ini berisi akses hanya baca ke tampilan sistem dan menjalankan hak istimewa untuk beberapa prosedur. Peran ini tidak dapat dicabut.

Pemodelan

Ini berisi semua hak istimewa yang diperlukan untuk menggunakan pemodel informasi di studio SAP HANA.

Hak Istimewa Sistem

Ada berbagai jenis hak istimewa Sistem yang dapat ditambahkan ke profil pengguna. Untuk menambahkan hak istimewa sistem ke profil pengguna, klik tanda +.

Hak istimewa sistem digunakan untuk Backup / Restore, Administrasi Pengguna, Instance start dan stop, dll.

Admin Konten

Ini berisi hak istimewa yang sama seperti dalam peran PEMODELAN, tetapi dengan tambahan peran ini diizinkan untuk memberikan hak istimewa ini kepada pengguna lain. Ini juga berisi hak repositori untuk bekerja dengan objek yang diimpor.

Admin Data

Ini adalah jenis hak istimewa, diperlukan untuk menambahkan Data dari objek ke profil pengguna.

Diberikan di bawah ini adalah Hak Istimewa Sistem yang didukung umum -

Lampirkan Debugger

Ini mengotorisasi debugging dari panggilan prosedur, yang dipanggil oleh pengguna yang berbeda. Selain itu, diperlukan hak istimewa DEBUG untuk prosedur terkait.

Admin Audit

Mengontrol pelaksanaan perintah terkait audit berikut - BUAT KEBIJAKAN AUDIT, LEPAS KEBIJAKAN AUDIT dan ALTER KEBIJAKAN AUDIT dan perubahan konfigurasi audit. Juga memungkinkan akses ke tampilan sistem AUDIT_LOG.

Operator Audit

Ini memberi otorisasi eksekusi perintah berikut - ALTER SYSTEM CLEAR AUDIT LOG. Juga memungkinkan akses ke tampilan sistem AUDIT_LOG.

Admin cadangan

Ini mengotorisasi perintah BACKUP dan RECOVERY untuk menentukan dan memulai prosedur pencadangan dan pemulihan.

Operator Cadangan

Ini mengotorisasi perintah BACKUP untuk memulai proses pencadangan.

Katalog Baca

Ini memberi otorisasi kepada pengguna untuk memiliki akses hanya baca tanpa filter ke semua tampilan sistem. Biasanya, konten tampilan ini difilter berdasarkan hak istimewa pengguna yang mengakses.

Buat Skema

Ini mengotorisasi pembuatan skema database menggunakan perintah CREATE SCHEMA. Secara default, setiap pengguna memiliki satu skema, dengan hak istimewa ini pengguna diizinkan untuk membuat skema tambahan.

BUAT HAK TERSURAT

Ini mengizinkan pembuatan Hak Istimewa Terstruktur (Hak Istimewa Analitik). Hanya pemilik Hak Istimewa Analitik yang selanjutnya dapat memberikan atau mencabut hak istimewa tersebut kepada pengguna atau peran lain.

Admin Kredensial

Ini mengotorisasi perintah kredensial - CREATE / ALTER / DROP CREDENTIAL.

Admin Data

Ini mengotorisasi membaca semua data dalam tampilan sistem. Ini juga memungkinkan eksekusi perintah Data Definition Language (DDL) apa pun dalam database SAP HANA

Pengguna yang memiliki hak istimewa ini tidak dapat memilih atau mengubah tabel data yang disimpan yang hak aksesnya tidak mereka miliki, tetapi mereka dapat menghapus tabel atau mengubah definisi tabel.

Admin Database

Ini memberi otorisasi semua perintah yang terkait dengan database dalam multi-database, seperti BUAT, LEPAS, ALTER, GANTI NAMA, BACKUP, PEMULIHAN.

Ekspor

Ini mengotorisasi aktivitas ekspor dalam database melalui perintah TABEL EKSPOR.

Perhatikan bahwa di samping hak istimewa ini, pengguna memerlukan hak istimewa PILIH pada tabel sumber untuk diekspor.

Impor

Ini mengotorisasi aktivitas impor dalam database menggunakan perintah IMPORT.

Perhatikan bahwa di samping hak istimewa ini, pengguna memerlukan hak istimewa SISIPKAN pada tabel target untuk diimpor.

Admin Inifile

Ini mengizinkan perubahan pengaturan sistem.

Admin Lisensi

Ini mengotorisasi perintah SET SYSTEM LICENSE menginstal lisensi baru.

Admin log

Ini memberi otorisasi perintah ALTER SYSTEM LOGGING [ON | OFF] untuk mengaktifkan atau menonaktifkan mekanisme log flush.

Pantau Admin

Ini mengotorisasi perintah ALTER SYSTEM untuk ACARA.

Admin Pengoptimal

Ini mengotorisasi perintah ALTER SYSTEM mengenai perintah SQL PLAN CACHE dan ALTER SYSTEM UPDATE STATISTICS, yang memengaruhi perilaku pengoptimal kueri.

Admin Sumber Daya

Hak istimewa ini memberi otorisasi perintah tentang sumber daya sistem. Misalnya, ALTER SYSTEM RECLAIM DATAVOLUME dan ALTER SYSTEM RESET MONITORING VIEW. Itu juga mengotorisasi banyak perintah yang tersedia di Konsol Manajemen.

Admin Peran

Hak istimewa ini mengizinkan pembuatan dan penghapusan peran menggunakan perintah CREATE ROLE dan DROP ROLE. Ini juga mengotorisasi pemberian dan pencabutan peran menggunakan perintah GRANT dan REVOKE.

Peran yang diaktifkan, artinya peran yang penciptanya adalah pengguna yang ditentukan sebelumnya _SYS_REPO, tidak dapat diberikan ke peran atau pengguna lain atau langsung diturunkan. Bahkan pengguna yang memiliki hak istimewa ROLE ADMIN dapat melakukannya. Silakan periksa dokumentasi tentang objek yang diaktifkan.

Admin Savepoint

Ini mengotorisasi eksekusi proses savepoint menggunakan perintah ALTER SYSTEM SAVEPOINT.

Komponen database SAP HANA dapat membuat hak istimewa sistem baru. Hak istimewa ini menggunakan nama-komponen sebagai pengenal pertama dari hak istimewa sistem dan nama-hak-komponen sebagai pengenal kedua.

Hak Istimewa Objek / SQL

Hak istimewa objek juga dikenal sebagai hak istimewa SQL. Hak istimewa ini digunakan untuk mengizinkan akses pada objek seperti Pilih, Sisipkan, Perbarui dan Hapus tabel, Tampilan atau Skema.

Diberikan di bawah ini adalah kemungkinan jenis Hak Istimewa Objek -

  • Hak istimewa objek pada objek database yang hanya ada saat runtime

  • Hak istimewa objek pada objek aktif yang dibuat di repositori, seperti tampilan kalkulasi

  • Hak istimewa objek pada skema yang berisi objek aktif yang dibuat di repositori,

  • Hak Istimewa Objek / SQL adalah kumpulan semua hak istimewa DDL dan DML pada objek database.

Diberikan di bawah ini adalah Hak Istimewa Objek yang didukung umum -

Ada beberapa objek database dalam database HANA, jadi tidak semua hak istimewa berlaku untuk semua jenis objek database.

Hak Istimewa Objek dan penerapannya pada objek database -

Hak Istimewa Analitik

Terkadang, data dalam tampilan yang sama tidak boleh diakses oleh pengguna lain yang tidak memiliki persyaratan yang relevan untuk data tersebut.

Hak istimewa analitik digunakan untuk membatasi akses pada Tampilan Informasi HANA di tingkat objek. Kita dapat menerapkan keamanan tingkat baris dan kolom di Hak Istimewa Analitik.

Hak Istimewa Analitik digunakan untuk -

  • Alokasi tingkat keamanan baris dan kolom untuk kisaran nilai tertentu.
  • Alokasi keamanan tingkat baris dan kolom untuk tampilan pemodelan.

Hak Istimewa Paket

Di repositori SAP HANA, Anda dapat mengatur otorisasi paket untuk pengguna tertentu atau untuk sebuah peran. Hak istimewa paket digunakan untuk mengizinkan akses ke model data- tampilan Analitik atau Perhitungan atau ke objek Repositori. Semua hak istimewa yang diberikan ke paket repositori juga ditetapkan ke semua sub paket. Anda juga dapat menyebutkan apakah otorisasi pengguna yang ditetapkan dapat diteruskan ke pengguna lain.

Langkah-langkah untuk menambahkan hak paket ke profil Pengguna -

  • Klik pada tab Package privilege di HANA studio di bawah User creation → Pilih + untuk menambahkan satu atau lebih paket. Gunakan tombol Ctrl untuk memilih beberapa paket.

  • Dalam dialog Select Repository Package, gunakan semua atau sebagian dari nama paket untuk menemukan paket repositori yang ingin Anda beri otorisasi aksesnya.

  • Pilih satu atau lebih paket repositori yang ingin Anda beri otorisasi aksesnya, paket yang dipilih muncul di tab Package Privileges.

Diberikan di bawah ini adalah hak istimewa, yang digunakan pada paket repositori untuk memberi otorisasi kepada pengguna untuk mengubah objek -

  • REPO.READ - Akses baca ke paket yang dipilih dan objek waktu desain (baik asli maupun impor)

  • REPO.EDIT_NATIVE_OBJECTS - Otorisasi untuk memodifikasi objek dalam paket.

  • Grantable to Others - Jika Anda memilih 'Ya' untuk ini, ini memungkinkan otorisasi pengguna yang ditetapkan untuk diteruskan ke pengguna lain.

Hak Istimewa Aplikasi

Hak istimewa aplikasi di profil pengguna digunakan untuk menentukan otorisasi untuk akses ke aplikasi HANA XS. Ini dapat ditetapkan ke pengguna individu atau ke grup pengguna. Hak istimewa aplikasi juga dapat digunakan untuk menyediakan tingkat akses yang berbeda ke aplikasi yang sama seperti untuk menyediakan fungsi lanjutan untuk Administrator database dan akses hanya baca untuk pengguna normal.

Untuk menentukan hak khusus Aplikasi di profil pengguna atau untuk menambahkan grup pengguna, hak istimewa di bawah ini harus digunakan -

  • File hak istimewa aplikasi (.xsprivileges)
  • File akses aplikasi (.xsaccess)
  • File definisi peran (<RoleName> .hdbrole)