Администрирование пользователей и управление ролями
Пользователи технической базы данных используются только для административных целей, таких как создание новых объектов в базе данных, назначение привилегий другим пользователям, пакетам, приложениям и т. Д.
Действия по администрированию пользователей SAP HANA
В зависимости от бизнес-потребностей и конфигурации системы HANA существуют различные действия пользователей, которые можно выполнять с помощью инструмента администрирования пользователей, такого как HANA studio.
Наиболее распространенные действия включают в себя -
- Создать пользователей
- Предоставление ролей пользователям
- Определить и создать роли
- Удаление пользователей
- Сброс паролей пользователей
- Повторная активация пользователей после слишком большого количества неудачных попыток входа в систему
- Деактивация пользователей, когда это необходимо
Как создавать пользователей в HANA Studio?
Только пользователи базы данных с системными привилегиями ROLE ADMIN могут создавать пользователей и роли в HANA studio. Чтобы создать пользователей и роли в HANA studio, перейдите в консоль администратора HANA. Вы увидите вкладку безопасности в системном представлении -
Когда вы расширяете вкладку безопасности, она дает возможность выбора пользователя и ролей. Чтобы создать нового пользователя, щелкните правой кнопкой мыши на User и перейдите в New User. Откроется новое окно, в котором вы определяете пользователя и параметры пользователя.
Введите имя пользователя (мандат) и в поле «Аутентификация» введите пароль. Пароль применяется при сохранении пароля для нового пользователя. Вы также можете создать пользователя с ограниченным доступом.
Указанное имя роли не должно совпадать с именем существующего пользователя или роли. Правила паролей включают минимальную длину пароля и определение того, какие типы символов (нижние, верхние, цифры, специальные символы) должны быть частью пароля.
Можно настроить различные методы авторизации, такие как SAML, сертификаты X509, билет входа в систему SAP и т. Д. Пользователи в базе данных могут быть аутентифицированы с помощью различных механизмов -
Механизм внутренней аутентификации с использованием пароля.
Внешние механизмы, такие как Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket или X.509.
Пользователь может быть аутентифицирован более чем одним механизмом одновременно. Однако только один пароль и одно основное имя для Kerberos могут быть действительными одновременно. Должен быть указан один механизм аутентификации, чтобы пользователь мог подключаться и работать с экземпляром базы данных.
Он также дает возможность определить срок действия пользователя, вы можете указать срок действия, выбрав даты. Спецификация действительности - необязательный пользовательский параметр.
Некоторые пользователи, которые по умолчанию поставляются с базой данных SAP HANA: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.
Как только это будет сделано, следующим шагом будет определение привилегий для профиля пользователя. Есть разные типы привилегий, которые можно добавить в профиль пользователя.
Предоставленные роли пользователю
Это используется для добавления встроенных ролей SAP.HANA в профиль пользователя или для добавления пользовательских ролей, созданных на вкладке «Роли». Настраиваемые роли позволяют вам определять роли в соответствии с требованиями доступа, и вы можете добавлять эти роли непосредственно в профиль пользователя. Это избавляет от необходимости каждый раз запоминать и добавлять объекты в профиль пользователя для разных типов доступа.
PUBLIC- Это общая роль, которая по умолчанию назначается всем пользователям базы данных. Эта роль содержит доступ только для чтения к системным представлениям и права на выполнение некоторых процедур. Эти роли нельзя отозвать.
Моделирование
Он содержит все привилегии, необходимые для использования средства моделирования информации в SAP HANA studio.
Системные привилегии
Существуют различные типы системных привилегий, которые можно добавить к профилю пользователя. Чтобы добавить системные привилегии в профиль пользователя, щелкните знак +.
Системные привилегии используются для резервного копирования / восстановления, администрирования пользователей, запуска и остановки экземпляра и т. Д.
Администратор контента
Он содержит те же привилегии, что и роль MODELING, но с добавлением того, что этой роли разрешено предоставлять эти привилегии другим пользователям. Он также содержит права репозитория для работы с импортированными объектами.
Администратор данных
Это тип привилегий, необходимых для добавления данных из объектов в профиль пользователя.
Ниже приведены общие поддерживаемые системные привилегии -
Присоединить отладчик
Он разрешает отладку вызова процедуры, вызванной другим пользователем. Кроме того, требуется привилегия DEBUG для соответствующей процедуры.
Администратор аудита
Управляет выполнением следующих команд, связанных с аудитом - CREATE AUDIT POLICY, DROP AUDIT POLICY и ALTER AUDIT POLICY, а также изменениями конфигурации аудита. Также позволяет получить доступ к системному обзору AUDIT_LOG.
Оператор аудита
Он разрешает выполнение следующей команды - ALTER SYSTEM CLEAR AUDIT LOG. Также позволяет получить доступ к системному обзору AUDIT_LOG.
Администратор резервного копирования
Он разрешает команды BACKUP и RECOVERY для определения и запуска процедур резервного копирования и восстановления.
Оператор резервного копирования
Он разрешает команде BACKUP инициировать процесс резервного копирования.
Каталог Читать
Он разрешает пользователям иметь нефильтрованный доступ только для чтения ко всем системным представлениям. Обычно содержимое этих представлений фильтруется на основе прав доступа пользователя.
Создать схему
Он разрешает создание схем базы данных с помощью команды CREATE SCHEMA. По умолчанию каждый пользователь владеет одной схемой, с этой привилегией пользователю разрешено создавать дополнительные схемы.
СОЗДАЙТЕ СТРУКТУРИРОВАННУЮ ПРИВИЛЕГИЮ
Он разрешает создание структурированных привилегий (аналитических привилегий). Только владелец Аналитической привилегии может в дальнейшем предоставлять или отзывать эту привилегию другим пользователям или ролям.
Администратор учетных данных
Он разрешает команды учетных данных - CREATE / ALTER / DROP CREDENTIAL.
Администратор данных
Он разрешает чтение всех данных в системных представлениях. Он также позволяет выполнять любые команды языка определения данных (DDL) в базе данных SAP HANA.
Пользователь, имеющий эту привилегию, не может выбирать или изменять хранимые данные в таблицах, для которых у него нет прав доступа, но он может отбрасывать таблицы или изменять определения таблиц.
Администратор базы данных
Он разрешает выполнение всех команд, относящихся к базам данных в мультибазе, например CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.
Экспорт
Он разрешает экспортные операции в базе данных с помощью команды EXPORT TABLE.
Обратите внимание, что помимо этой привилегии пользователю требуется привилегия SELECT для экспорта исходных таблиц.
импорт
Он разрешает импорт в базу данных с помощью команд IMPORT.
Обратите внимание, что помимо этой привилегии пользователю требуется привилегия INSERT для импорта целевых таблиц.
Начальный администратор
Он разрешает изменение системных настроек.
Администратор лицензии
Он разрешает команде SET SYSTEM LICENSE установить новую лицензию.
Администратор журнала
Он разрешает командам ALTER SYSTEM LOGGING [ON | OFF] включать или отключать механизм очистки журнала.
Администратор монитора
Он разрешает команды ALTER SYSTEM для СОБЫТИЙ.
Администратор оптимизатора
Он разрешает команды ALTER SYSTEM, касающиеся команд SQL PLAN CACHE и ALTER SYSTEM UPDATE STATISTICS, которые влияют на поведение оптимизатора запросов.
Администратор ресурсов
Эта привилегия разрешает команды, касающиеся системных ресурсов. Например, ALTER SYSTEM RECLAIM DATAVOLUME и ALTER SYSTEM RESET MONITORING VIEW. Он также разрешает многие команды, доступные в Консоли управления.
Роль администратора
Эта привилегия разрешает создание и удаление ролей с помощью команд CREATE ROLE и DROP ROLE. Он также разрешает предоставление и отзыв ролей с помощью команд GRANT и REVOKE.
Активированные роли, то есть роли, создателем которых является предварительно определенный пользователь _SYS_REPO, не могут быть ни предоставлены другим ролям или пользователям, ни отброшены напрямую. Даже пользователи, имеющие привилегию ROLE ADMIN, не могут это сделать. Пожалуйста, проверьте документацию по активированным объектам.
Администратор точки сохранения
Он разрешает выполнение процесса точки сохранения с помощью команды ALTER SYSTEM SAVEPOINT.
Компоненты базы данных SAP HANA могут создавать новые системные привилегии. Эти привилегии используют имя-компонента в качестве первого идентификатора системной привилегии и имя-привилегии компонента в качестве второго идентификатора.
Привилегии объекта / SQL
Объектные привилегии также известны как привилегии SQL. Эти привилегии используются для разрешения доступа к таким объектам, как Выбор, Вставка, Обновление и Удаление таблиц, Представлений или Схем.
Ниже приведены возможные типы объектных привилегий -
Объектные привилегии для объектов базы данных, которые существуют только во время выполнения
Объектные привилегии для активированных объектов, созданных в репозитории, например представления расчетов
Объектные привилегии для схемы, содержащей активированные объекты, созданные в репозитории,
Привилегии Object / SQL - это совокупность всех привилегий DDL и DML для объектов базы данных.
Ниже приведены общие поддерживаемые объектные привилегии -
В базе данных HANA есть несколько объектов базы данных, поэтому не все привилегии применимы ко всем видам объектов базы данных.
Объектные привилегии и их применимость к объектам базы данных -
Аналитические привилегии
Иногда требуется, чтобы данные в том же представлении не были доступны другим пользователям, у которых нет соответствующих требований к этим данным.
Аналитические привилегии используются для ограничения доступа к информационным представлениям HANA на уровне объекта. Мы можем применить безопасность на уровне строк и столбцов в Analytic Privileges.
Аналитические привилегии используются для -
- Выделение безопасности на уровне строк и столбцов для определенного диапазона значений.
- Выделение безопасности на уровне строк и столбцов для представлений моделирования.
Привилегии пакета
В репозитории SAP HANA вы можете установить авторизацию пакета для определенного пользователя или для роли. Привилегии пакета используются, чтобы разрешить доступ к моделям данных - аналитическим или расчетным представлениям или к объектам репозитория. Все привилегии, назначенные пакету репозитория, также назначаются всем подпакетам. Вы также можете указать, могут ли назначенные пользовательские права быть переданы другим пользователям.
Шаги по добавлению привилегий пакета в профиль пользователя -
Перейдите на вкладку привилегий пакета в студии HANA в разделе Создание пользователя → Выбрать +, чтобы добавить один или несколько пакетов. Используйте клавишу Ctrl, чтобы выбрать несколько пакетов.
В диалоговом окне «Выбор пакета репозитория» используйте полное или частичное имя пакета, чтобы найти пакет репозитория, к которому вы хотите разрешить доступ.
Выберите один или несколько пакетов репозитория, к которым вы хотите разрешить доступ, выбранные пакеты появятся на вкладке «Привилегии пакета».
Ниже приведены привилегии предоставления, которые используются в пакетах репозитория, чтобы разрешить пользователю изменять объекты:
REPO.READ - Доступ для чтения к выбранному пакету и объектам времени разработки (как собственным, так и импортированным)
REPO.EDIT_NATIVE_OBJECTS - Авторизация на изменение объектов в пакетах.
Grantable to Others - Если вы выберете для этого «Да», это позволит передать авторизацию назначенного пользователя другим пользователям.
Привилегии приложения
Привилегии приложения в профиле пользователя используются для определения авторизации для доступа к приложению HANA XS. Это может быть назначено отдельному пользователю или группе пользователей. Привилегии приложений также могут использоваться для обеспечения разного уровня доступа к одному и тому же приложению, например, для предоставления расширенных функций администраторам баз данных и доступа только для чтения для обычных пользователей.
Чтобы определить привилегии для конкретного приложения в профиле пользователя или добавить группу пользователей, следует использовать следующие привилегии:
- Файл с правами приложения (.xsprivileges)
- Файл доступа к приложению (.xsaccess)
- Файл определения роли (<RoleName> .hdbrole)