SAP HANA Admin - Provisionamento de usuário
A configuração de gerenciamento de usuários e funções do SAP HANA depende da arquitetura do seu sistema HANA. Se o SAP HANA estiver integrado às ferramentas da plataforma de BI e atuar como um banco de dados de relatórios, o usuário final e a função serão gerenciados no servidor de aplicativos.
Se o usuário final se conecta diretamente ao banco de dados SAP HANA, o usuário e a função na camada de banco de dados do sistema HANA são necessários para usuários finais e administradores.
Cada usuário que deseja trabalhar com o banco de dados HANA deve ter um usuário de banco de dados com os privilégios necessários. O usuário que acessa o sistema HANA pode ser um usuário técnico ou um usuário final, dependendo do requisito de acesso. Após o logon bem-sucedido no sistema, é verificada a autorização do usuário para realizar a operação necessária. A execução dessa operação depende dos privilégios concedidos ao usuário. Esses privilégios podem ser concedidos usando funções em HANA Security. HANA Studio é uma das ferramentas poderosas para gerenciar o usuário e as funções do sistema de banco de dados HANA.
Tipos de usuário
Os tipos de usuário variam de acordo com as políticas de segurança e diferentes privilégios atribuídos ao perfil do usuário. O tipo de usuário pode ser um usuário técnico de banco de dados ou um usuário final. O usuário precisa acessar o sistema HANA para relatar a finalidade ou para manipulação de dados.
Usuários Padrão
Os usuários padrão são aqueles que podem criar objetos em seus próprios esquemas e têm acesso de leitura nos modelos de informações do sistema. O acesso de leitura é fornecido pela função PUBLIC, que é atribuída a cada usuário padrão.
Usuários Restritos
Usuários restritos são aqueles usuários que acessam o sistema HANA com alguns aplicativos e não têm privilégios SQL no sistema HANA. Quando esses usuários são criados, eles não têm nenhum acesso inicialmente.
Se compararmos usuários restritos com usuários padrão -
Os usuários restritos não podem criar objetos no banco de dados HANA ou em seus próprios esquemas.
Eles não têm acesso para visualizar nenhum dado no banco de dados, pois não têm uma função pública genérica adicionada ao perfil como usuários padrão.
Eles podem se conectar ao banco de dados HANA apenas usando HTTP / HTTPS.
Administração de usuários HANA e gerenciamento de funções
Os usuários do banco de dados técnicos são usados apenas para fins administrativos, como criar novos objetos no banco de dados, atribuir privilégios a outros usuários, em pacotes, aplicativos, etc.
Atividades de administração de usuário SAP HANA
Dependendo das necessidades do negócio e da configuração do sistema HANA, existem diferentes atividades de usuário que podem ser realizadas usando ferramentas de administração de usuário, como o HANA Studio.
As atividades mais comuns incluem -
- Criar usuários
- Conceder funções aos usuários
- Definir e criar funções
- Excluir usuários
- Redefinir senhas de usuário
- Reative usuários após muitas tentativas de logon malsucedidas
- Desative usuários quando for necessário
Criar usuários no HANA Studio
Apenas usuários de banco de dados com privilégio de sistema ROLE ADMIN têm permissão para criar usuários e funções no HANA Studio. Para criar usuários e funções no HANA Studio, vá para HANA Administrator Console. Você verá a guia de segurança na visualização do sistema.
Quando você expande a guia de segurança, ela oferece uma opção de Usuário e Funções. Para criar um novo usuário, clique com o botão direito no usuário e vá para Novo usuário. Uma nova janela será aberta, onde você define os parâmetros do usuário e do usuário.
Insira o nome do usuário (mandato) e no campo Autenticação insira a senha. A senha é aplicada ao salvar a senha para um novo usuário. Você também pode optar por criar um usuário restrito.
O nome da função especificada não deve ser idêntico ao nome de um usuário ou função existente. As regras de senha incluem um comprimento mínimo de senha e uma definição de quais tipos de caracteres (inferior, superior, dígito, caracteres especiais) devem fazer parte da senha.
Diferentes métodos de autorização podem ser configurados, como SAML, certificados X509, tíquete de logon SAP, etc. Os usuários no banco de dados podem ser autenticados por diversos mecanismos -
Mecanismo de autenticação interna usando uma senha.
Mecanismos externos, como Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket ou X.509.
Um usuário pode ser autenticado por mais de um mecanismo por vez. No entanto, apenas uma senha e um nome principal para Kerberos podem ser válidos a qualquer momento. Um mecanismo de autenticação deve ser especificado para permitir que o usuário se conecte e trabalhe com a instância do banco de dados.
Também oferece a opção de definir a validade do usuário. Você pode mencionar o intervalo de validade selecionando as datas. A especificação de validade é um parâmetro opcional do usuário.
Existem alguns usuários que são fornecidos por padrão com o banco de dados SAP HANA: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.
Feito isso, o próximo passo é definir os privilégios para o perfil do usuário.
Tipos de privilégios para o perfil do usuário
Existem diferentes tipos de privilégios que podem ser adicionados ao perfil do usuário.
Função concedida
Isso é usado para adicionar funções sap.hana integradas ao perfil do usuário ou para adicionar funções personalizadas criadas na guia Funções. Funções personalizadas permitem definir funções de acordo com o requisito de acesso e você pode adicionar essas funções diretamente ao perfil do usuário. Isso elimina a necessidade de lembrar e adicionar objetos a um perfil de usuário sempre para diferentes tipos de acesso.
Função Pública
Esta é uma função genérica e é atribuída a todos os usuários do banco de dados por padrão. Esta função contém acesso somente leitura a visualizações do sistema e privilégios de execução para alguns procedimentos. Essas funções não podem ser revogadas.
Modelagem
Ele contém todos os privilégios necessários para usar o modelador de informações no estúdio SAP HANA.
Privilégios do sistema
Existem diferentes tipos de privilégios de sistema que podem ser adicionados a um perfil de usuário. Para adicionar privilégios de sistema a um perfil de usuário, clique no sinal (+).
Os privilégios do sistema são usados para backup / restauração, administração do usuário, início e parada da instância, etc.
Admin de conteúdo
Ele contém privilégios semelhantes aos da função MODELING, mas com a adição de que essa função pode conceder esses privilégios a outros usuários. Ele também contém os privilégios do repositório para trabalhar com objetos importados.
Administrador de Dados
Este é outro tipo de privilégio necessário para adicionar dados dos objetos ao perfil do usuário.
A seguir estão alguns privilégios de sistema suportados comuns -
ATTACH DEBUGGER- Autoriza a depuração de uma chamada de procedimento, chamada por outro usuário. Além disso, o privilégio DEBUG para o procedimento correspondente é necessário.
AUDIT ADMIN- Controla a execução dos seguintes comandos relativos à auditoria: CREATE AUDIT POLICY, DROP AUDIT POLICY e ALTER AUDIT POLICY e as alterações da configuração de auditoria. Também permite o acesso à visualização do sistema AUDIT_LOG.
AUDIT OPERATOR- Autoriza a execução do seguinte comando: ALTER SYSTEM CLEAR AUDIT LOG. Também permite o acesso à visualização do sistema AUDIT_LOG.
BACKUP ADMIN - Autoriza os comandos BACKUP e RECOVERY para definir e iniciar procedimentos de backup e recuperação.
BACKUP OPERATOR - Autoriza o comando BACKUP para iniciar um processo de backup.
CATALOG READ- Autoriza os usuários a terem acesso somente leitura não filtrado a todas as visualizações do sistema. Normalmente, o conteúdo dessas visualizações é filtrado com base nos privilégios do usuário de acesso.
CREATE SCHEMA- Autoriza a criação de esquemas de banco de dados usando o comando CREATE SCHEMA. Por padrão, cada usuário possui um esquema. Com este privilégio, o usuário tem permissão para criar esquemas adicionais.
CREATE STRUCTURED PRIVILEGE- Autoriza a criação de Privilégios Estruturados (Privilégios Analíticos). Apenas o proprietário de um privilégio analítico pode conceder ou revogar esse privilégio a outros usuários ou funções.
CREDENTIAL ADMIN - Autoriza os comandos de credencial: CREATE / ALTER / DROP CREDENTIAL.
DATA ADMIN- Autoriza a leitura de todos os dados nas visualizações do sistema. Ele também permite a execução de quaisquer comandos de linguagem de definição de dados (DDL) no banco de dados SAP HANA. Um usuário com este privilégio não pode selecionar ou alterar tabelas armazenadas de dados para as quais ele não tem privilégios de acesso, mas pode descartar tabelas ou modificar definições de tabelas.
DATABASE ADMIN - Autoriza todos os comandos relacionados a bancos de dados em um banco de dados múltiplo, como CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.
EXPORT- Autoriza a atividade de exportação no banco de dados por meio do comando EXPORT TABLE. Observe que, além desse privilégio, o usuário requer o privilégio SELECT nas tabelas de origem a serem exportadas.
IMPORT- Autoriza a atividade de importação no banco de dados usando os comandos IMPORT. Observe que, além desse privilégio, o usuário requer o privilégio INSERT nas tabelas de destino a serem importadas.
INIFILE ADMIN - Autoriza a alteração das configurações do sistema.
LICENSE ADMIN - Autoriza o comando SET SYSTEM LICENSE a instalar uma nova licença.
LOG ADMIN - Autoriza os comandos ALTER SYSTEM LOGGING [ON | OFF] para ativar ou desativar o mecanismo de liberação de log.
MONITOR ADMIN - Autoriza os comandos ALTER SYSTEM para EVENTOS.
OPTIMIZER ADMIN - Autoriza os comandos ALTER SYSTEM relativos aos comandos SQL PLAN CACHE e ALTER SYSTEM UPDATE STATISTICS, que influenciam o comportamento do otimizador de consultas.
RESOURCE ADMIN- Autoriza comandos relativos aos recursos do sistema. Por exemplo, ALTER SYSTEM RECLAIM DATAVOLUME e ALTER SYSTEM RESET MONITORING VIEW. Ele também autoriza muitos dos comandos disponíveis no console de gerenciamento.
ROLE ADMIN- Autoriza a criação e exclusão de funções usando os comandos CREATE ROLE e DROP ROLE. Ele também autoriza a concessão e revogação de funções usando os comandos GRANT e REVOKE.
As funções ativadas, ou seja, funções cujo criador é o usuário predefinido _SYS_REPO, não podem ser concedidas a outras funções ou usuários, nem eliminadas diretamente. Os usuários com privilégio ROLE ADMIN também não podem fazer isso. Verifique a documentação relativa aos objetos ativados.
SAVEPOINT ADMIN - Autoriza a execução de um processo de savepoint usando o comando ALTER SYSTEM SAVEPOINT.
Os componentes do banco de dados SAP HANA podem criar novos privilégios de sistema. Esses privilégios usam o nome do componente como o primeiro identificador do privilégio do sistema e o nome do privilégio do componente como o segundo identificador.
Privilégios de objeto / SQL
Os privilégios de objeto também são conhecidos como privilégios SQL. Esses privilégios são usados para permitir o acesso a objetos como Selecionar, Inserir, Atualizar e Excluir tabelas, Visualizações ou Esquemas.
A seguir estão os tipos de privilégios de objeto -
Privilégio de objeto em objetos de banco de dados que existem apenas em tempo de execução.
Privilégio de objeto em objetos ativados criados no repositório, como visualizações de cálculo.
Privilégio de objeto no esquema que contém objetos ativados criados no repositório.
Os privilégios de objeto / SQL são uma coleção de todos os privilégios DDL e DML em objetos de banco de dados.
A seguir estão alguns privilégios de objeto comumente suportados -
Existem vários objetos de banco de dados no banco de dados HANA, portanto, nem todos os privilégios são aplicáveis a todos os tipos de objetos de banco de dados.
Privilégios de objeto e sua aplicabilidade em objetos de banco de dados.
Privilégios analíticos no perfil do usuário
Às vezes, é necessário que os dados na mesma exibição não sejam acessíveis a outros usuários que não têm nenhum requisito relevante para esses dados.
Os privilégios analíticos são usados para limitar o acesso às visualizações de informações do HANA no nível do objeto. Podemos aplicar segurança em nível de linha e coluna em privilégios analíticos.
Privilégios analíticos são usados para -
- Alocação de segurança em nível de linha e coluna para intervalo de valor específico
- Alocação de segurança em nível de linha e coluna para visualizações de modelagem
Privilégios do pacote
No repositório SAP HANA, você pode definir autorizações de pacote para um usuário específico ou para uma função. Privilégios de pacote são usados para permitir o acesso a modelos de dados - visualizações analíticas ou de cálculo ou em objetos de repositório. Todos os privilégios atribuídos a um pacote de repositório também são atribuídos a todos os subpacotes. Você também pode mencionar se as autorizações de usuário atribuídas podem ser passadas para outros usuários.
Etapas para adicionar privilégios de pacote ao perfil do usuário -
Step 1- Clique na guia Privilégio de pacote no HANA studio em Criação de usuário → Escolha o sinal (+) para adicionar um ou mais pacotes. Use a tecla Ctrl para selecionar vários pacotes.
Step 2 - Na caixa de diálogo Selecionar Pacote de Repositório, use todo ou parte do nome do pacote para localizar o pacote de repositório ao qual deseja autorizar o acesso.
Step 3 - Selecione um ou mais pacotes de repositório para os quais deseja autorizar o acesso; os pacotes selecionados aparecem na guia Privilégios de pacote.
Os seguintes privilégios de concessão são usados em pacotes de repositório para autorizar o usuário a modificar os objetos -
REPO.READ - Acesso de leitura ao pacote selecionado e objetos em tempo de design (nativos e importados)
REPO.EDIT_NATIVE_OBJECTS - Autorização para modificar objetos em pacotes
Grantable to Others
Se você escolher 'Sim' para isso, permitirá que a autorização atribuída ao usuário passe para outros usuários.
Privilégios de aplicativo
Privilégios de aplicativo em um perfil de usuário usado para definir a autorização de acesso ao aplicativo HANA XS. Isso pode ser atribuído a um usuário individual ou a um grupo de usuários. Os privilégios do aplicativo também podem ser usados para fornecer diferentes níveis de acesso ao mesmo aplicativo, como para fornecer funções avançadas para administradores de banco de dados e acesso somente leitura para usuários normais.
Para definir privilégios específicos do aplicativo em um perfil de usuário ou para adicionar um grupo de usuários, os seguintes privilégios devem ser usados:
- Arquivo de privilégios de aplicativo (.xsprivileges)
- Arquivo de acesso ao aplicativo (.xsaccess)
- Arquivo de definição de função (<RoleName> .hdbrole)