Administracja użytkownikami i zarządzanie rolami
Techniczni użytkownicy baz danych są wykorzystywani wyłącznie do celów administracyjnych, takich jak tworzenie nowych obiektów w bazie danych, nadawanie uprawnień innym użytkownikom, na pakietach, aplikacjach itp.
Działania związane z administrowaniem użytkownikami SAP HANA
W zależności od potrzeb biznesowych i konfiguracji systemu HANA, istnieją różne czynności użytkownika, które można wykonać za pomocą narzędzia administracyjnego, takiego jak studio HANA.
Do najczęściej wykonywanych czynności należą:
- Utwórz użytkowników
- Przyznaj role użytkownikom
- Zdefiniuj i utwórz role
- Usuwanie użytkowników
- Resetowanie haseł użytkowników
- Ponowna aktywacja użytkowników po zbyt wielu nieudanych próbach logowania
- Dezaktywowanie użytkowników, gdy jest to wymagane
Jak tworzyć użytkowników w HANA Studio?
Tylko użytkownicy bazy danych z uprawnieniem ROLE ADMIN mogą tworzyć użytkowników i role w HANA Studio. Aby utworzyć użytkowników i role w HANA Studio, przejdź do konsoli administratora HANA. Zobaczysz zakładkę bezpieczeństwa w widoku systemu -
Po rozwinięciu zakładki bezpieczeństwa daje to opcję użytkownika i ról. Aby utworzyć nowego użytkownika, kliknij prawym przyciskiem myszy użytkownika i przejdź do nowego użytkownika. Otworzy się nowe okno, w którym można zdefiniować parametry użytkownika i użytkownika.
Wpisz nazwę użytkownika (mandat), aw polu Uwierzytelnianie wprowadź hasło. Hasło jest stosowane, podczas zapisywania hasła dla nowego użytkownika. Możesz także utworzyć użytkownika z ograniczonym dostępem.
Podana nazwa roli nie może być identyczna z nazwą istniejącego użytkownika lub roli. Zasady dotyczące haseł obejmują minimalną długość hasła i określenie, jakie typy znaków (dolna, górna, cyfra, znaki specjalne) muszą być częścią hasła.
Można skonfigurować różne metody autoryzacji, takie jak SAML, certyfikaty X509, bilet logowania SAP itp. Użytkownicy w bazie danych mogą być uwierzytelniani za pomocą różnych mechanizmów -
Mechanizm uwierzytelniania wewnętrznego za pomocą hasła.
Mechanizmy zewnętrzne, takie jak Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket czy X.509.
Użytkownik może być uwierzytelniany jednocześnie przez więcej niż jeden mechanizm. Jednak jednocześnie tylko jedno hasło i jedna nazwa główna protokołu Kerberos mogą być ważne. Należy określić jeden mechanizm uwierzytelniania, aby umożliwić użytkownikowi łączenie się i pracę z instancją bazy danych.
Daje również możliwość zdefiniowania ważności użytkownika, możesz wspomnieć o przedziale ważności, wybierając daty. Określenie ważności jest opcjonalnym parametrem użytkownika.
Niektórzy użytkownicy, którzy są domyślnie dostarczani z bazą danych SAP HANA to - SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.
Gdy to zrobisz, następnym krokiem jest zdefiniowanie uprawnień dla profilu użytkownika. Istnieją różne typy uprawnień, które można dodać do profilu użytkownika.
Role przyznane użytkownikowi
Służy do dodawania wbudowanych ról SAP.HANA do profilu użytkownika lub do dodawania ról niestandardowych utworzonych na karcie Role. Role niestandardowe umożliwiają definiowanie ról zgodnie z wymaganiami dotyczącymi dostępu i można je dodawać bezpośrednio do profilu użytkownika. Eliminuje to potrzebę zapamiętywania i dodawania obiektów do profilu użytkownika za każdym razem dla różnych typów dostępu.
PUBLIC- To jest rola ogólna i jest domyślnie przypisywana wszystkim użytkownikom bazy danych. Ta rola obejmuje dostęp tylko do odczytu do widoków systemu i uprawnienia do wykonywania niektórych procedur. Tych ról nie można odwołać.
Modelowanie
Zawiera wszystkie uprawnienia wymagane do korzystania z narzędzia do modelowania informacji w studiu SAP HANA.
Uprawnienia systemowe
Istnieją różne typy uprawnień systemowych, które można dodać do profilu użytkownika. Aby dodać uprawnienia systemowe do profilu użytkownika, kliknij + podpisz.
Uprawnienia systemowe służą do tworzenia kopii zapasowych / przywracania, administrowania użytkownikami, uruchamiania i zatrzymywania instancji itp.
Administrator treści
Zawiera podobne uprawnienia jak w roli MODELOWANIE, ale z tym że rola ta może nadawać te uprawnienia innym użytkownikom. Zawiera również uprawnienia repozytorium do pracy z importowanymi obiektami.
Administrator danych
Jest to rodzaj przywileju wymagany do dodawania danych z obiektów do profilu użytkownika.
Poniżej podano typowe obsługiwane uprawnienia systemowe -
Dołącz debuger
Autoryzuje debugowanie wywołania procedury, wywołanego przez innego użytkownika. Ponadto wymagane jest uprawnienie DEBUG do odpowiedniej procedury.
Administrator audytu
Steruje wykonywaniem następujących poleceń związanych z kontrolą - UTWÓRZ POLITYKĘ AUDYTU, UPUŚĆ POLITYKĘ AUDYTU i ZMIEŃ POLITYKĘ AUDYTU oraz zmiany konfiguracji kontroli. Umożliwia również dostęp do widoku systemu AUDIT_LOG.
Operator audytu
Autoryzuje wykonanie polecenia ALTER SYSTEM CLEAR AUDIT LOG. Umożliwia również dostęp do widoku systemu AUDIT_LOG.
Administrator kopii zapasowych
Autoryzuje polecenia BACKUP i RECOVERY do definiowania i inicjowania procedur tworzenia kopii zapasowych i odzyskiwania.
Operator kopii zapasowej
Upoważnia polecenie BACKUP do zainicjowania procesu tworzenia kopii zapasowej.
Przeczytaj katalog
Uprawnia użytkowników do niefiltrowanego dostępu tylko do odczytu do wszystkich widoków systemu. Zazwyczaj zawartość tych widoków jest filtrowana na podstawie uprawnień użytkownika uzyskującego dostęp.
Utwórz schemat
Autoryzuje tworzenie schematów baz danych za pomocą polecenia CREATE SCHEMA. Domyślnie każdy użytkownik jest właścicielem jednego schematu, z tym uprawnieniem może on tworzyć dodatkowe schematy.
UTWÓRZ STRUKTURYZOWANY PRZYWILEJ
Upoważnia do tworzenia uprawnień strukturalnych (uprawnień analitycznych). Tylko właściciel uprawnienia analitycznego może dalej nadawać lub cofać to uprawnienie innym użytkownikom lub rolom.
Administrator poświadczeń
Autoryzuje polecenia poświadczeń - UTWÓRZ / ZMIEN / ODRZUĆ DANE.
Administrator danych
Uprawnia do odczytu wszystkich danych w widokach systemowych. Umożliwia także wykonywanie dowolnych poleceń języka definicji danych (DDL) w bazie danych SAP HANA
Użytkownik mający to uprawnienie nie może wybierać ani zmieniać tabel przechowywanych z danymi, do których nie ma uprawnień dostępu, ale może usuwać tabele lub modyfikować ich definicje.
Administrator bazy danych
Autoryzuje wszystkie polecenia związane z bazami danych w wielu bazach danych, takie jak CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.
Eksport
Autoryzuje eksport do bazy danych za pomocą polecenia EXPORT TABLE.
Należy zauważyć, że oprócz tego uprawnienia użytkownik wymaga uprawnienia SELECT do tabel źródłowych do wyeksportowania.
Import
Autoryzuje czynności importu w bazie danych za pomocą poleceń IMPORT.
Należy zauważyć, że oprócz tego uprawnienia użytkownik wymaga uprawnienia INSERT do importowanych tabel docelowych.
Inifile Admin
Uprawnia do zmiany ustawień systemowych.
Administrator licencji
Autoryzuje polecenie SET SYSTEM LICENSE do zainstalowania nowej licencji.
Log Admin
Autoryzuje komendy ALTER SYSTEM LOGGING [ON | OFF] do włączania lub wyłączania mechanizmu opróżniania dziennika.
Monitoruj administratora
Autoryzuje polecenia ALTER SYSTEM dla ZDARZEŃ.
Administrator Optymalizatora
Autoryzuje polecenia ALTER SYSTEM dotyczące poleceń SQL PLAN CACHE i ALTER SYSTEM UPDATE STATISTICS, które mają wpływ na zachowanie optymalizatora zapytań.
Administrator zasobów
To uprawnienie upoważnia polecenia dotyczące zasobów systemowych. Na przykład ALTER SYSTEM RECLAIM DATAVOLUME i ALTER SYSTEM RESET MONITORING VIEW. Autoryzuje również wiele poleceń dostępnych w konsoli zarządzania.
Administrator roli
To uprawnienie upoważnia do tworzenia i usuwania ról za pomocą poleceń CREATE ROLE i DROP ROLE. Uprawnia również do nadawania i odbierania ról za pomocą poleceń GRANT i REVOKE.
Aktywowane role, co oznacza role, których twórcą jest wstępnie zdefiniowany użytkownik _SYS_REPO, nie mogą być nadawane innym rolom lub użytkownikom ani bezpośrednio usuwane. Nawet użytkownicy mający uprawnienia ROLA ADMINISTRATORA nie mogą tego zrobić. Sprawdź dokumentację dotyczącą aktywowanych obiektów.
Savepoint Admin
Autoryzuje wykonanie procesu punktu zapisu za pomocą polecenia ALTER SYSTEM SAVEPOINT.
Komponenty bazy danych SAP HANA mogą tworzyć nowe uprawnienia systemowe. Te uprawnienia używają nazwy komponentu jako pierwszego identyfikatora uprawnienia systemowego i nazwy przywileju komponentu jako drugiego identyfikatora.
Uprawnienia do obiektów / SQL
Uprawnienia do obiektów są również znane jako uprawnienia SQL. Te uprawnienia są używane, aby umożliwić dostęp do obiektów, takich jak wybieranie, wstawianie, aktualizowanie i usuwanie tabel, widoków lub schematów.
Poniżej podano możliwe typy uprawnień do obiektów -
Uprawnienia do obiektów dotyczące obiektów bazy danych, które istnieją tylko w środowisku wykonawczym
Uprawnienia do obiektów na aktywowanych obiektach utworzonych w repozytorium, takich jak widoki obliczeniowe
Uprawnienia do obiektu na schemacie zawierającym aktywowane obiekty utworzone w repozytorium,
Uprawnienia do obiektów / SQL to zbiór wszystkich uprawnień DDL i DML dotyczących obiektów bazy danych.
Poniżej podano typowe obsługiwane uprawnienia do obiektów -
W bazie danych HANA znajduje się wiele obiektów bazy danych, więc nie wszystkie uprawnienia mają zastosowanie do wszystkich rodzajów obiektów bazy danych.
Uprawnienia do obiektów i ich zastosowanie do obiektów bazy danych -
Uprawnienia analityczne
Czasami wymagane jest, aby dane w tym samym widoku nie były dostępne dla innych użytkowników, którzy nie mają żadnych odpowiednich wymagań dotyczących tych danych.
Uprawnienia analityczne służą do ograniczania dostępu do widoków informacji HANA na poziomie obiektu. W uprawnieniach analitycznych możemy zastosować zabezpieczenia na poziomie wierszy i kolumn.
Uprawnienia analityczne są używane do -
- Alokacja zabezpieczeń na poziomie wiersza i kolumny dla określonego zakresu wartości.
- Alokacja zabezpieczeń na poziomie wierszy i kolumn dla widoków modelowania.
Uprawnienia do pakietu
W repozytorium SAP HANA można ustawić autoryzacje pakietów dla konkretnego użytkownika lub dla roli. Uprawnienia do pakietu są używane, aby umożliwić dostęp do modeli danych - widoków analitycznych lub obliczeniowych lub do obiektów repozytorium. Wszystkie uprawnienia przypisane do pakietu repozytorium są również przypisane do wszystkich pakietów podrzędnych. Możesz również wspomnieć, czy przypisane uprawnienia użytkowników mogą być przekazywane innym użytkownikom.
Kroki, aby dodać uprawnienia pakietu do profilu użytkownika -
Kliknij kartę Uprawnienia pakietu w studiu HANA w obszarze Tworzenie użytkownika → Wybierz +, aby dodać jeden lub więcej pakietów. Użyj klawisza Ctrl, aby wybrać wiele pakietów.
W oknie dialogowym Wybierz pakiet repozytorium użyj całej lub części nazwy pakietu, aby zlokalizować pakiet repozytorium, do którego chcesz zezwolić na dostęp.
Wybierz co najmniej jeden pakiet repozytorium, do którego chcesz zezwolić na dostęp, wybrane pakiety pojawią się na karcie Uprawnienia do pakietu.
Poniżej podano uprawnienia, które są używane w pakietach repozytorium, aby autoryzować użytkownika do modyfikacji obiektów -
REPO.READ - Dostęp do odczytu do wybranego pakietu i obiektów czasu projektowania (zarówno natywnych, jak i importowanych)
REPO.EDIT_NATIVE_OBJECTS - Uprawnienia do modyfikacji obiektów w pakietach.
Grantable to Others - Jeśli wybierzesz w tym celu opcję „Tak”, umożliwia to przekazanie uprawnień przydzielonych użytkownikom innym użytkownikom.
Uprawnienia aplikacji
Uprawnienia aplikacji w profilu użytkownika służą do definiowania uprawnień dostępu do aplikacji HANA XS. Można to przypisać do pojedynczego użytkownika lub do grupy użytkowników. Uprawnienia aplikacji mogą być również wykorzystywane do zapewniania różnych poziomów dostępu do tej samej aplikacji, na przykład w celu zapewnienia zaawansowanych funkcji administratorom baz danych i dostępu w trybie tylko do odczytu zwykłym użytkownikom.
Aby zdefiniować uprawnienia specyficzne dla aplikacji w profilu użytkownika lub dodać grupę użytkowników, należy użyć poniższych uprawnień -
- Plik uprawnień aplikacji (.xsprivileges)
- Plik dostępu do aplikacji (.xsaccess)
- Plik definicji roli (<RoleName> .hdbrole)