Administração de usuários e gerenciamento de funções

Os usuários do banco de dados técnicos são usados ​​apenas para fins administrativos, como criar novos objetos no banco de dados, atribuir privilégios a outros usuários, em pacotes, aplicativos etc.

Atividades de administração de usuário SAP HANA

Dependendo das necessidades do negócio e da configuração do sistema HANA, existem diferentes atividades do usuário que podem ser realizadas usando uma ferramenta de administração de usuário como o HANA Studio.

As atividades mais comuns incluem -

  • Criar usuários
  • Conceder funções aos usuários
  • Definir e criar funções
  • Exclusão de usuários
  • Redefinindo senhas de usuário
  • Reativar usuários após muitas tentativas de logon malsucedidas
  • Desativando usuários quando for necessário

Como criar usuários no HANA Studio?

Apenas usuários do banco de dados com privilégio de sistema ROLE ADMIN têm permissão para criar usuários e funções no HANA Studio. Para criar usuários e funções no HANA studio, vá para HANA Administrator Console. Você verá a guia de segurança na visualização do sistema -

Quando você expande a guia de segurança, dá a opção de Usuário e Funções. Para criar um novo usuário, clique com o botão direito em Usuário e vá para Novo Usuário. Uma nova janela será aberta, onde você define os parâmetros do usuário e do usuário.

Insira o nome de usuário (mandato) e no campo Autenticação insira a senha. A senha é aplicada, enquanto salva a senha para um novo usuário. Você também pode optar por criar um usuário restrito.

O nome da função especificada não deve ser idêntico ao nome de um usuário ou função existente. As regras de senha incluem um comprimento mínimo de senha e uma definição de quais tipos de caracteres (inferior, superior, dígito, caracteres especiais) devem fazer parte da senha.

Diferentes métodos de autorização podem ser configurados como SAML, certificados X509, tíquete de logon SAP, etc. Os usuários no banco de dados podem ser autenticados por vários mecanismos -

Mecanismo de autenticação interna usando uma senha.

Mecanismos externos, como Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket ou X.509.

Um usuário pode ser autenticado por mais de um mecanismo por vez. No entanto, apenas uma senha e um nome principal para Kerberos podem ser válidos a qualquer momento. Um mecanismo de autenticação deve ser especificado para permitir que o usuário se conecte e trabalhe com a instância do banco de dados.

Também dá a opção de definir a validade do usuário, você pode mencionar o intervalo de validade selecionando as datas. A especificação de validade é um parâmetro opcional do usuário.

Alguns usuários que são, por padrão, fornecidos com o banco de dados SAP HANA são - SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Feito isso, a próxima etapa é definir os privilégios para o perfil do usuário. Existem diferentes tipos de privilégios que podem ser adicionados a um perfil de usuário.

Funções concedidas a um usuário

Isso é usado para adicionar funções SAP.HANA integradas ao perfil do usuário ou para adicionar funções personalizadas criadas na guia Funções. Funções personalizadas permitem definir funções de acordo com o requisito de acesso e você pode adicionar essas funções diretamente ao perfil do usuário. Isso remove a necessidade de lembrar e adicionar objetos a um perfil de usuário sempre para diferentes tipos de acesso.

PUBLIC- Esta é a função genérica e é atribuída a todos os usuários do banco de dados por padrão. Esta função contém acesso somente leitura às visualizações do sistema e privilégios de execução para alguns procedimentos. Essas funções não podem ser revogadas.

Modelagem

Ele contém todos os privilégios necessários para usar o modelador de informações no estúdio SAP HANA.

Privilégios do sistema

Existem diferentes tipos de privilégios de sistema que podem ser adicionados a um perfil de usuário. Para adicionar privilégios de sistema a um perfil de usuário, clique no sinal +.

Os privilégios do sistema são usados ​​para backup / restauração, administração do usuário, início e parada da instância, etc.

Admin de conteúdo

Ele contém privilégios semelhantes aos da função MODELING, mas com a adição de que essa função pode conceder esses privilégios a outros usuários. Ele também contém os privilégios do repositório para trabalhar com objetos importados.

Administrador de Dados

Este é um tipo de privilégio, necessário para adicionar dados de objetos ao perfil do usuário.

A seguir estão os privilégios de sistema suportados comuns -

Anexar depurador

Autoriza a depuração de uma chamada de procedimento, chamada por um usuário diferente. Além disso, o privilégio DEBUG para o procedimento correspondente é necessário.

Auditoria Admin

Controla a execução dos seguintes comandos relativos à auditoria - CREATE AUDIT POLICY, DROP AUDIT POLICY e ALTER AUDIT POLICY e as alterações da configuração de auditoria. Também permite o acesso à visualização do sistema AUDIT_LOG.

Operador de auditoria

Autoriza a execução do seguinte comando - ALTER SYSTEM CLEAR AUDIT LOG. Também permite o acesso à visualização do sistema AUDIT_LOG.

Administrador de backup

Ele autoriza os comandos BACKUP e RECOVERY para definir e iniciar procedimentos de backup e recuperação.

Operador de backup

Ele autoriza o comando BACKUP a iniciar um processo de backup.

Leitura do catálogo

Ele autoriza os usuários a terem acesso somente leitura não filtrado a todas as visualizações do sistema. Normalmente, o conteúdo dessas visualizações é filtrado com base nos privilégios do usuário de acesso.

Criar Esquema

Ele autoriza a criação de esquemas de banco de dados usando o comando CREATE SCHEMA. Por padrão, cada usuário possui um esquema, com este privilégio o usuário tem permissão para criar esquemas adicionais.

CRIAR PRIVILÉGIO ESTRUTURADO

Autoriza a criação de Privilégios Estruturados (Privilégios Analíticos). Apenas o proprietário de um privilégio analítico pode conceder ou revogar esse privilégio a outros usuários ou funções.

Admin de credencial

Autoriza os comandos de credencial - CREATE / ALTER / DROP CREDENTIAL.

Administrador de Dados

Ele autoriza a leitura de todos os dados nas visualizações do sistema. Também permite a execução de quaisquer comandos de linguagem de definição de dados (DDL) no banco de dados SAP HANA

Um usuário com este privilégio não pode selecionar ou alterar tabelas armazenadas de dados para as quais ele não tem privilégios de acesso, mas pode descartar tabelas ou modificar definições de tabelas.

Administrador de banco de dados

Autoriza todos os comandos relacionados a bancos de dados em um banco de dados múltiplo, como CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.

Exportar

Ele autoriza a atividade de exportação no banco de dados por meio do comando EXPORT TABLE.

Observe que, além desse privilégio, o usuário requer o privilégio SELECT nas tabelas de origem a serem exportadas.

Importar

Ele autoriza a atividade de importação no banco de dados usando os comandos IMPORT.

Observe que, além desse privilégio, o usuário requer o privilégio INSERT nas tabelas de destino a serem importadas.

Admin Inifile

Ele autoriza a alteração das configurações do sistema.

Admin de licença

Autoriza o comando SET SYSTEM LICENSE a instalar uma nova licença.

Admin de registro

Ele autoriza os comandos ALTER SYSTEM LOGGING [ON | OFF] para ativar ou desativar o mecanismo de liberação de log.

Monitor Admin

Autoriza os comandos ALTER SYSTEM para EVENTs.

Optimizer Admin

Autoriza os comandos ALTER SYSTEM relativos aos comandos SQL PLAN CACHE e ALTER SYSTEM UPDATE STATISTICS, que influenciam o comportamento do otimizador de consulta.

Admin de Recursos

Este privilégio autoriza comandos relativos aos recursos do sistema. Por exemplo, ALTER SYSTEM RECLAIM DATAVOLUME e ALTER SYSTEM RESET MONITORING VIEW. Ele também autoriza muitos dos comandos disponíveis no console de gerenciamento.

Administrador de funções

Este privilégio autoriza a criação e exclusão de funções usando os comandos CREATE ROLE e DROP ROLE. Ele também autoriza a concessão e revogação de funções usando os comandos GRANT e REVOKE.

As funções ativadas, ou seja, funções cujo criador é o usuário predefinido _SYS_REPO, não podem ser concedidas a outras funções ou usuários, nem eliminadas diretamente. Nem mesmo os usuários com privilégio ROLE ADMIN são capazes de fazer isso. Verifique a documentação relativa aos objetos ativados.

Savepoint Admin

Autoriza a execução de um processo de savepoint utilizando o comando ALTER SYSTEM SAVEPOINT.

Os componentes do banco de dados SAP HANA podem criar novos privilégios de sistema. Esses privilégios usam o nome do componente como primeiro identificador do privilégio do sistema e o nome do privilégio do componente como o segundo identificador.

Privilégios de objeto / SQL

Os privilégios de objeto também são conhecidos como privilégios SQL. Esses privilégios são usados ​​para permitir o acesso a objetos como Selecionar, Inserir, Atualizar e Excluir tabelas, Visualizações ou Esquemas.

A seguir são apresentados os tipos possíveis de privilégios de objeto -

  • Privilégio de objeto em objetos de banco de dados que existem apenas em tempo de execução

  • Privilégio de objeto em objetos ativados criados no repositório, como visualizações de cálculo

  • Privilégio de objeto no esquema que contém objetos ativados criados no repositório,

  • Os privilégios de objeto / SQL são uma coleção de todos os privilégios DDL e DML em objetos de banco de dados.

A seguir, são fornecidos privilégios de objeto comuns -

Existem vários objetos de banco de dados no banco de dados HANA, portanto, nem todos os privilégios são aplicáveis ​​a todos os tipos de objetos de banco de dados.

Privilégios de objeto e sua aplicabilidade em objetos de banco de dados -

Privilégios analíticos

Às vezes, é necessário que os dados na mesma exibição não sejam acessíveis a outros usuários que não têm nenhum requisito relevante para esses dados.

Os privilégios analíticos são usados ​​para limitar o acesso às visualizações de informações do HANA no nível do objeto. Podemos aplicar segurança em nível de linha e coluna em privilégios analíticos.

Privilégios analíticos são usados ​​para -

  • Alocação de segurança em nível de linha e coluna para um intervalo de valor específico.
  • Alocação de segurança em nível de linha e coluna para visualizações de modelagem.

Privilégios do pacote

No repositório SAP HANA, você pode definir autorizações de pacote para um usuário específico ou para uma função. Os privilégios do pacote são usados ​​para permitir o acesso a modelos de dados - visualizações analíticas ou de cálculo ou a objetos do repositório. Todos os privilégios atribuídos a um pacote de repositório também são atribuídos a todos os subpacotes. Você também pode mencionar se as autorizações de usuário atribuídas podem ser passadas para outros usuários.

Passos para adicionar privilégios de pacote ao perfil do usuário -

  • Clique na guia Privilégio de pacote no HANA studio em Criação de usuário → Escolha + para adicionar um ou mais pacotes. Use a tecla Ctrl para selecionar vários pacotes.

  • Na caixa de diálogo Selecionar Pacote de Repositório, use todo ou parte do nome do pacote para localizar o pacote de repositório ao qual deseja autorizar o acesso.

  • Selecione um ou mais pacotes de repositório para os quais deseja autorizar o acesso; os pacotes selecionados aparecem na guia Privilégios de pacote.

A seguir, são concedidos privilégios, que são usados ​​em pacotes de repositório para autorizar o usuário a modificar os objetos -

  • REPO.READ - Acesso de leitura ao pacote selecionado e objetos em tempo de design (nativos e importados)

  • REPO.EDIT_NATIVE_OBJECTS - Autorização para modificar objetos em pacotes.

  • Grantable to Others - Se você escolher 'Sim' para isso, permitirá que a autorização atribuída ao usuário passe para outros usuários.

Privilégios de aplicativo

Os privilégios do aplicativo em um perfil de usuário são usados ​​para definir a autorização de acesso ao aplicativo HANA XS. Isso pode ser atribuído a um usuário individual ou ao grupo de usuários. Os privilégios de aplicativo também podem ser usados ​​para fornecer diferentes níveis de acesso ao mesmo aplicativo, como fornecer funções avançadas para administradores de banco de dados e acesso somente leitura para usuários normais.

Para definir os privilégios específicos do aplicativo em um perfil de usuário ou para adicionar um grupo de usuários, os privilégios abaixo devem ser usados ​​-

  • Arquivo de privilégios de aplicativo (.xsprivileges)
  • Arquivo de acesso ao aplicativo (.xsaccess)
  • Arquivo de definição de função (<RoleName> .hdbrole)