Amministratore SAP HANA - Provisioning utenti

La configurazione della gestione degli utenti e dei ruoli SAP HANA dipende dall'architettura del sistema HANA. Se SAP HANA è integrato con gli strumenti della piattaforma BI e funge da database di report, l'utente finale e il ruolo vengono gestiti nel server delle applicazioni.

Se l'utente finale si connette direttamente al database SAP HANA, l'utente e il ruolo nel livello database del sistema HANA sono richiesti sia per gli utenti finali che per gli amministratori.

Ogni utente che desidera lavorare con il database HANA deve disporre di un utente del database con i privilegi necessari. L'utente che accede al sistema HANA può essere un utente tecnico o un utente finale a seconda dei requisiti di accesso. Dopo aver effettuato correttamente l'accesso al sistema, viene verificata l'autorizzazione dell'utente a eseguire l'operazione richiesta. L'esecuzione di tale operazione dipende dai privilegi concessi all'utente. Questi privilegi possono essere concessi utilizzando i ruoli in HANA Security. HANA Studio è uno dei potenti strumenti per gestire l'utente e i ruoli per il sistema di database HANA.

Tipi di utente

I tipi di utente variano in base alle politiche di sicurezza e ai diversi privilegi assegnati al profilo utente. Il tipo di utente può essere un utente del database tecnico o un utente finale. L'utente deve accedere al sistema HANA per riportare lo scopo o per manipolare i dati.

Utenti standard

Gli utenti standard sono gli utenti che possono creare oggetti nei propri schemi e avere accesso in lettura ai modelli di informazioni di sistema. L'accesso in lettura è fornito dal ruolo PUBLIC, assegnato a ogni utente standard.

Utenti limitati

Gli utenti limitati sono quegli utenti che accedono al sistema HANA con alcune applicazioni e non hanno privilegi SQL sul sistema HANA. Quando questi utenti vengono creati, inizialmente non hanno alcun accesso.

Se confrontiamo gli utenti con limitazioni con gli utenti standard,

  • Gli utenti con restrizioni non possono creare oggetti nel database HANA o nei propri schemi.

  • Non hanno accesso per visualizzare i dati nel database poiché non hanno un ruolo pubblico generico aggiunto al profilo come gli utenti standard.

  • Possono connettersi al database HANA solo utilizzando HTTP / HTTPS.

Amministrazione degli utenti e gestione dei ruoli di HANA

Gli utenti del database tecnico vengono utilizzati solo per scopi amministrativi come la creazione di nuovi oggetti nel database, l'assegnazione di privilegi ad altri utenti, su pacchetti, applicazioni, ecc.

Attività di amministrazione degli utenti SAP HANA

A seconda delle esigenze aziendali e della configurazione del sistema HANA, esistono diverse attività utente che possono essere eseguite utilizzando strumenti di amministrazione utente come HANA studio.

Le attività più comuni includono:

  • Crea utenti
  • Concedi ruoli agli utenti
  • Definisci e crea ruoli
  • Elimina utenti
  • Reimposta le password degli utenti
  • Riattiva gli utenti dopo troppi tentativi di accesso non riusciti
  • Disattiva gli utenti quando è necessario

Crea utenti in HANA Studio

Solo gli utenti del database con il privilegio di sistema ROLE ADMIN possono creare utenti e ruoli in HANA Studio. Per creare utenti e ruoli in HANA Studio, vai alla Console di amministrazione di HANA. Vedrai la scheda sicurezza nella vista Sistema.

Quando espandi la scheda di sicurezza, offre un'opzione di Utente e Ruoli. Per creare un nuovo utente, fai clic con il pulsante destro del mouse sull'utente e vai a Nuovo utente. Si aprirà una nuova finestra in cui definire i parametri Utente e Utente.

Immettere il nome utente (mandato) e nel campo Autenticazione immettere la password. La password viene applicata durante il salvataggio della password per un nuovo utente. Puoi anche scegliere di creare un utente con limitazioni.

Il nome del ruolo specificato non deve essere identico al nome di un utente o ruolo esistente. Le regole della password includono una lunghezza minima della password e una definizione di quali tipi di carattere (inferiore, superiore, cifra, caratteri speciali) devono far parte della password.

È possibile configurare diversi metodi di autorizzazione come SAML, certificati X509, ticket di accesso SAP e così via. Gli utenti nel database possono essere autenticati mediante meccanismi diversi:

  • Meccanismo di autenticazione interno tramite password.

  • Meccanismi esterni come Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket o X.509.

  • Un utente può essere autenticato da più di un meccanismo alla volta. Tuttavia, solo una password e un nome principale per Kerberos possono essere validi in qualsiasi momento. È necessario specificare un meccanismo di autenticazione per consentire all'utente di connettersi e lavorare con l'istanza del database.

Offre inoltre un'opzione per definire la validità dell'utente. Puoi menzionare l'intervallo di validità selezionando le date. La specifica di validità è un parametro utente opzionale.

Alcuni utenti vengono forniti per impostazione predefinita con il database SAP HANA: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Fatto ciò, si definiscono i privilegi per il profilo utente.

Tipi di privilegi per il profilo utente

Esistono diversi tipi di privilegi che possono essere aggiunti al profilo utente.

Ruolo concesso

Viene utilizzato per aggiungere ruoli sap.hana integrati al profilo utente o per aggiungere ruoli personalizzati creati nella scheda Ruoli. I ruoli personalizzati consentono di definire i ruoli in base ai requisiti di accesso ed è possibile aggiungere questi ruoli direttamente al profilo utente. Ciò elimina la necessità di ricordare e aggiungere ogni volta oggetti a un profilo utente per diversi tipi di accesso.

Ruolo pubblico

Questo è un ruolo generico ed è assegnato a tutti gli utenti del database per impostazione predefinita. Questo ruolo contiene l'accesso in sola lettura alle viste di sistema e privilegi di esecuzione per alcune procedure. Questi ruoli non possono essere revocati.

Modellazione

Contiene tutti i privilegi necessari per utilizzare Information Modeler nello studio SAP HANA.

Privilegi di sistema

Esistono diversi tipi di privilegi di sistema che possono essere aggiunti a un profilo utente. Per aggiungere privilegi di sistema a un profilo utente, fare clic sul segno (+).

I privilegi di sistema vengono utilizzati per backup / ripristino, amministrazione utente, avvio e arresto istanza, ecc.

Amministratore dei contenuti

Contiene i privilegi simili a quelli del ruolo MODELLING, ma con l'aggiunta che questo ruolo può concedere questi privilegi ad altri utenti. Contiene anche i privilegi del repository per lavorare con gli oggetti importati.

Amministratore dei dati

Questo è un altro tipo di privilegio richiesto per aggiungere dati dagli oggetti al profilo utente.

Di seguito sono riportati alcuni privilegi di sistema supportati comuni:

ATTACH DEBUGGER- Autorizza il debug di una chiamata di procedura, chiamata da un utente diverso. Inoltre, è necessario il privilegio DEBUG per la procedura corrispondente.

AUDIT ADMIN- Controlla l'esecuzione dei seguenti comandi relativi all'auditing: CREATE AUDIT POLICY, DROP AUDIT POLICY e ALTER AUDIT POLICY e le modifiche alla configurazione dell'audit. Consente inoltre l'accesso alla visualizzazione di sistema AUDIT_LOG.

AUDIT OPERATOR- Autorizza l'esecuzione del seguente comando: ALTER SYSTEM CLEAR AUDIT LOG. Consente inoltre l'accesso alla visualizzazione di sistema AUDIT_LOG.

BACKUP ADMIN - Autorizza i comandi BACKUP e RECOVERY per la definizione e l'avvio delle procedure di backup e ripristino.

BACKUP OPERATOR - Autorizza il comando BACKUP ad avviare un processo di backup.

CATALOG READ- Autorizza gli utenti ad avere accesso di sola lettura non filtrato a tutte le viste di sistema. Normalmente, il contenuto di queste visualizzazioni viene filtrato in base ai privilegi dell'utente che accede.

CREATE SCHEMA- Autorizza la creazione di schemi di database utilizzando il comando CREATE SCHEMA. Per impostazione predefinita, ogni utente possiede uno schema. Con questo privilegio, l'utente può creare schemi aggiuntivi.

CREATE STRUCTURED PRIVILEGE- Autorizza la creazione di privilegi strutturati (privilegi analitici). Solo il proprietario di un privilegio analitico può concedere o revocare ulteriormente tale privilegio ad altri utenti o ruoli.

CREDENTIAL ADMIN - Autorizza i comandi delle credenziali: CREATE / ALTER / DROP CREDENTIAL.

DATA ADMIN- Autorizza la lettura di tutti i dati nelle viste di sistema. Consente inoltre l'esecuzione di qualsiasi comando DDL (Data Definition Language) nel database SAP HANA. Un utente che dispone di questo privilegio non può selezionare o modificare le tabelle di dati archiviati per le quali non dispone dei privilegi di accesso, ma può eliminare le tabelle o modificare le definizioni delle tabelle.

DATABASE ADMIN - Autorizza tutti i comandi relativi ai database in un multi-database, come CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.

EXPORT- Autorizza l'attività di esportazione nel database tramite il comando EXPORT TABLE. Notare che oltre a questo privilegio, l'utente richiede l'esportazione del privilegio SELECT sulle tabelle di origine.

IMPORT- Autorizza l'attività di importazione nel database utilizzando i comandi IMPORT. Notare che oltre a questo privilegio, l'utente richiede l'importazione del privilegio INSERT sulle tabelle di destinazione.

INIFILE ADMIN - Autorizza la modifica delle impostazioni di sistema.

LICENSE ADMIN - Autorizza il comando SET SYSTEM LICENSE a installare una nuova licenza.

LOG ADMIN - Autorizza i comandi ALTER SYSTEM LOGGING [ON | OFF] per abilitare o disabilitare il meccanismo di log flush.

MONITOR ADMIN - Autorizza i comandi ALTER SYSTEM per EVENT.

OPTIMIZER ADMIN - Autorizza i comandi ALTER SYSTEM relativi ai comandi SQL PLAN CACHE e ALTER SYSTEM UPDATE STATISTICS, che influenzano il comportamento di Query Optimizer.

RESOURCE ADMIN- Autorizza i comandi relativi alle risorse di sistema. Ad esempio, ALTER SYSTEM RECLAIM DATAVOLUME e ALTER SYSTEM RESET MONITORING VIEW. Autorizza inoltre molti dei comandi disponibili nella Console di gestione.

ROLE ADMIN- Autorizza la creazione e l'eliminazione di ruoli utilizzando i comandi CREATE ROLE e DROP ROLE. Autorizza inoltre la concessione e la revoca dei ruoli utilizzando i comandi GRANT e REVOKE.

I ruoli attivati, ovvero i ruoli il cui creatore è l'utente predefinito _SYS_REPO, non possono essere concessi ad altri ruoli o utenti né eliminati direttamente. Anche gli utenti che dispongono del privilegio ROLE ADMIN non possono farlo. Si prega di controllare la documentazione relativa agli oggetti attivati.

SAVEPOINT ADMIN - Autorizza l'esecuzione di un processo savepoint utilizzando il comando ALTER SYSTEM SAVEPOINT.

I componenti del database SAP HANA possono creare nuovi privilegi di sistema. Questi privilegi utilizzano il nome-componente come primo identificativo del privilegio di sistema e il nome-privilegio-componente come secondo identificativo.

Privilegi oggetto / SQL

I privilegi degli oggetti sono noti anche come privilegi SQL. Questi privilegi vengono utilizzati per consentire l'accesso a oggetti come Seleziona, Inserisci, Aggiorna ed Elimina di tabelle, Viste o Schemi.

Di seguito sono riportati i tipi di privilegi oggetto:

  • Privilegio oggetto su oggetti di database che esistono solo in runtime.

  • Privilegio oggetto sugli oggetti attivati ​​creati nel repository, come le viste di calcolo.

  • Privilegio oggetto sullo schema contenente oggetti attivati ​​creati nel repository.

  • I privilegi Object / SQL sono la raccolta di tutti i privilegi DDL e DML sugli oggetti di database.

Di seguito sono riportati alcuni privilegi oggetto comunemente supportati:

Esistono più oggetti di database nel database HANA, quindi non tutti i privilegi sono applicabili a tutti i tipi di oggetti di database.

Privilegi degli oggetti e loro applicabilità sugli oggetti di database.

Privilegi analitici nel profilo utente

A volte è necessario che i dati nella stessa vista non siano accessibili ad altri utenti che non hanno requisiti rilevanti per quei dati.

I privilegi analitici vengono utilizzati per limitare l'accesso alle visualizzazioni delle informazioni HANA a livello di oggetto. Possiamo applicare la sicurezza a livello di riga e di colonna in Privilegi analitici.

I privilegi analitici vengono utilizzati per:

  • Allocazione della sicurezza a livello di riga e colonna per un intervallo di valori specifico
  • Allocazione della sicurezza a livello di riga e colonna per le viste di modellazione

Privilegi del pacchetto

Nel repository SAP HANA è possibile impostare le autorizzazioni del pacchetto per un utente specifico o per un ruolo. I privilegi del pacchetto vengono utilizzati per consentire l'accesso ai modelli di dati: viste analitiche o di calcolo o agli oggetti del repository. Tutti i privilegi assegnati a un pacchetto di repository vengono assegnati anche a tutti i pacchetti secondari. Puoi anche indicare se le autorizzazioni utente assegnate possono essere trasferite ad altri utenti.

Passaggi per aggiungere i privilegi del pacchetto al profilo utente -

  • Step 1- Fare clic sulla scheda Privilegi pacchetto in HANA studio in Creazione utente → Scegliere il segno (+) per aggiungere uno o più pacchetti. Usa il tasto Ctrl per selezionare più pacchetti.

  • Step 2 - Nella finestra di dialogo Seleziona pacchetto del repository, utilizzare tutto o parte del nome del pacchetto per individuare il pacchetto del repository a cui si desidera autorizzare l'accesso.

  • Step 3 - Selezionare uno o più pacchetti del repository a cui si desidera autorizzare l'accesso, i pacchetti selezionati vengono visualizzati nella scheda Privilegi pacchetto.

I seguenti privilegi di concessione vengono utilizzati sui pacchetti del repository per autorizzare l'utente a modificare gli oggetti:

  • REPO.READ - Accesso in lettura al pacchetto selezionato e agli oggetti in fase di progettazione (sia nativi che importati)

  • REPO.EDIT_NATIVE_OBJECTS - Autorizzazione a modificare oggetti nei pacchetti

  • Grantable to Others

Se scegli "Sì" per questo, ciò consente il passaggio dell'autorizzazione utente assegnata agli altri utenti.

Privilegi dell'applicazione

Privilegi dell'applicazione in un profilo utente utilizzati per definire l'autorizzazione per l'accesso all'applicazione HANA XS. Questo può essere assegnato a un singolo utente oa un gruppo di utenti. I privilegi dell'applicazione possono essere utilizzati anche per fornire diversi livelli di accesso alla stessa applicazione, ad esempio per fornire funzioni avanzate per gli amministratori di database e l'accesso in sola lettura agli utenti normali.

Per definire i privilegi specifici dell'applicazione in un profilo utente o per aggiungere un gruppo di utenti, è necessario utilizzare i seguenti privilegi:

  • File dei privilegi dell'applicazione (.xsprivileges)
  • File di accesso all'applicazione (.xsaccess)
  • File di definizione del ruolo (<RoleName> .hdbrole)