SAP HANA Admin - การจัดสรรผู้ใช้

คอนฟิกูเรชันผู้ใช้ SAP HANA และการจัดการบทบาทขึ้นอยู่กับสถาปัตยกรรมของระบบ HANA ของคุณ หาก SAP HANA รวมเข้ากับเครื่องมือแพลตฟอร์ม BI และทำหน้าที่เป็นฐานข้อมูลการรายงานผู้ใช้ปลายทางและบทบาทจะถูกจัดการในแอ็พพลิเคชันเซิร์ฟเวอร์

หากผู้ใช้ปลายทางเชื่อมต่อโดยตรงกับฐานข้อมูล SAP HANA ผู้ใช้และบทบาทในเลเยอร์ฐานข้อมูลของระบบ HANA จำเป็นสำหรับทั้งผู้ใช้ปลายทางและผู้ดูแลระบบ

ผู้ใช้ทุกคนที่ต้องการทำงานกับฐานข้อมูล HANA ต้องมีผู้ใช้ฐานข้อมูลที่มีสิทธิ์ที่จำเป็น ผู้ใช้ที่เข้าถึงระบบ HANA อาจเป็นผู้ใช้ทางเทคนิคหรือผู้ใช้ปลายทางขึ้นอยู่กับข้อกำหนดการเข้าถึง หลังจากล็อกออนเข้าสู่ระบบสำเร็จการอนุญาตของผู้ใช้ในการดำเนินการที่จำเป็นจะได้รับการตรวจสอบ การดำเนินการนั้นขึ้นอยู่กับสิทธิ์ที่ผู้ใช้ได้รับ สิทธิ์เหล่านี้สามารถให้ได้โดยใช้บทบาทใน HANA Security HANA Studio เป็นหนึ่งในเครื่องมือที่มีประสิทธิภาพในการจัดการผู้ใช้และบทบาทของระบบฐานข้อมูล HANA

ประเภทผู้ใช้

ประเภทผู้ใช้จะแตกต่างกันไปตามนโยบายความปลอดภัยและสิทธิพิเศษต่างๆที่กำหนดให้กับโปรไฟล์ผู้ใช้ ประเภทผู้ใช้อาจเป็นผู้ใช้ฐานข้อมูลทางเทคนิคหรือผู้ใช้ปลายทาง ผู้ใช้ต้องการเข้าถึงระบบ HANA เพื่อรายงานวัตถุประสงค์หรือเพื่อการจัดการข้อมูล

ผู้ใช้มาตรฐาน

ผู้ใช้มาตรฐานคือผู้ใช้ที่สามารถสร้างอ็อบเจ็กต์ใน Schemas ของตนเองและมีสิทธิ์อ่านในโมเดลข้อมูลระบบ การเข้าถึงการอ่านจัดทำโดยบทบาทของ PUBLIC ซึ่งกำหนดให้กับผู้ใช้มาตรฐานทุกคน

ผู้ใช้ที่ถูก จำกัด

ผู้ใช้ที่ถูก จำกัด คือผู้ใช้ที่เข้าถึงระบบ HANA ด้วยแอพพลิเคชั่นบางตัวและพวกเขาไม่มีสิทธิ์ SQL ในระบบ HANA เมื่อผู้ใช้เหล่านี้ถูกสร้างขึ้นพวกเขาจะไม่มีสิทธิ์เข้าถึงในตอนแรก

หากเราเปรียบเทียบผู้ใช้ที่ถูก จำกัด กับผู้ใช้มาตรฐาน -

  • ผู้ใช้ที่ถูก จำกัด ไม่สามารถสร้างวัตถุในฐานข้อมูล HANA หรือ Schemas ของตนเองได้

  • พวกเขาไม่สามารถเข้าถึงเพื่อดูข้อมูลใด ๆ ในฐานข้อมูลเนื่องจากไม่มีการเพิ่มบทบาทสาธารณะทั่วไปในโปรไฟล์เช่นผู้ใช้มาตรฐาน

  • สามารถเชื่อมต่อกับฐานข้อมูล HANA โดยใช้ HTTP / HTTPS เท่านั้น

การบริหารผู้ใช้ HANA และการจัดการบทบาท

ผู้ใช้ฐานข้อมูลทางเทคนิคจะใช้เพื่อจุดประสงค์ในการดูแลระบบเท่านั้นเช่นการสร้างอ็อบเจ็กต์ใหม่ในฐานข้อมูลการกำหนดสิทธิ์ให้กับผู้ใช้รายอื่นบนแพ็กเกจแอปพลิเคชัน ฯลฯ

กิจกรรมการดูแลผู้ใช้ SAP HANA

ขึ้นอยู่กับความต้องการทางธุรกิจและการกำหนดค่าของระบบ HANA มีกิจกรรมของผู้ใช้ที่แตกต่างกันซึ่งสามารถทำได้โดยใช้เครื่องมือการดูแลระบบผู้ใช้เช่น HANA studio

กิจกรรมที่พบบ่อย ได้แก่ -

  • สร้างผู้ใช้
  • มอบบทบาทให้กับผู้ใช้
  • กำหนดและสร้างบทบาท
  • ลบผู้ใช้
  • รีเซ็ตรหัสผ่านผู้ใช้
  • เปิดใช้งานผู้ใช้อีกครั้งหลังจากพยายามเข้าสู่ระบบล้มเหลวหลายครั้งเกินไป
  • ปิดการใช้งานผู้ใช้เมื่อจำเป็น

สร้างผู้ใช้ใน HANA Studio

เฉพาะผู้ใช้ฐานข้อมูลที่มีสิทธิ์ระบบ ROLE ADMIN เท่านั้นที่ได้รับอนุญาตให้สร้างผู้ใช้และบทบาทใน HANA Studio ในการสร้างผู้ใช้และบทบาทใน HANA Studio ให้ไปที่ HANA Administrator Console คุณจะเห็นแท็บความปลอดภัยในมุมมองระบบ

เมื่อคุณขยายแท็บความปลอดภัยจะมีตัวเลือกให้กับผู้ใช้และบทบาท ในการสร้างผู้ใช้ใหม่ให้คลิกขวาที่ผู้ใช้และไปที่ผู้ใช้ใหม่ หน้าต่างใหม่จะเปิดขึ้นซึ่งคุณกำหนดพารามิเตอร์ผู้ใช้และผู้ใช้

ป้อนชื่อผู้ใช้ (อาณัติ) และในฟิลด์การตรวจสอบสิทธิ์ให้ป้อนรหัสผ่าน ใช้รหัสผ่านขณะบันทึกรหัสผ่านสำหรับผู้ใช้ใหม่ คุณยังสามารถเลือกสร้างผู้ใช้แบบ จำกัด ได้

ชื่อบทบาทที่ระบุต้องไม่เหมือนกับชื่อของผู้ใช้หรือบทบาทที่มีอยู่ กฎรหัสผ่านประกอบด้วยความยาวของรหัสผ่านขั้นต่ำและคำจำกัดความของประเภทอักขระ (ล่าง, บน, ตัวเลข, อักขระพิเศษ) ต้องเป็นส่วนหนึ่งของรหัสผ่าน

วิธีการอนุญาตที่แตกต่างกันสามารถกำหนดค่าได้เช่น SAML ใบรับรอง X509 ตั๋วเข้าสู่ระบบ SAP เป็นต้นผู้ใช้ในฐานข้อมูลสามารถพิสูจน์ตัวตนได้โดยกลไกที่แตกต่างกัน -

  • กลไกการพิสูจน์ตัวตนภายในโดยใช้รหัสผ่าน

  • กลไกภายนอกเช่น Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket หรือ X.509

  • ผู้ใช้สามารถพิสูจน์ตัวตนได้โดยใช้กลไกมากกว่าหนึ่งครั้ง อย่างไรก็ตามรหัสผ่านเดียวและชื่อหลักเดียวสำหรับ Kerberos สามารถใช้ได้ในคราวเดียว ต้องระบุกลไกการพิสูจน์ตัวตนเดียวเพื่ออนุญาตให้ผู้ใช้เชื่อมต่อและทำงานกับอินสแตนซ์ฐานข้อมูล

นอกจากนี้ยังมีตัวเลือกในการกำหนดความถูกต้องของผู้ใช้ คุณสามารถระบุช่วงเวลาที่ใช้ได้โดยเลือกวันที่ ข้อกำหนดความถูกต้องเป็นพารามิเตอร์ผู้ใช้ที่เป็นทางเลือก

มีผู้ใช้บางรายที่มาพร้อมกับฐานข้อมูล SAP HANA ตามค่าเริ่มต้น: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS

เมื่อเสร็จแล้วขั้นตอนต่อไปคือการกำหนดสิทธิ์สำหรับโปรไฟล์ผู้ใช้

ประเภทของสิทธิพิเศษในโปรไฟล์ผู้ใช้

มีสิทธิพิเศษหลายประเภทที่สามารถเพิ่มลงในโปรไฟล์ผู้ใช้ได้

บทบาทที่ได้รับ

ใช้เพื่อเพิ่มบทบาท sap.hana inbuilt ในโปรไฟล์ผู้ใช้หรือเพื่อเพิ่มบทบาทแบบกำหนดเองที่สร้างขึ้นภายใต้แท็บบทบาท บทบาทที่กำหนดเองช่วยให้คุณกำหนดบทบาทตามความต้องการในการเข้าถึงและคุณสามารถเพิ่มบทบาทเหล่านี้ลงในโปรไฟล์ผู้ใช้ได้โดยตรง ซึ่งทำให้ไม่จำเป็นต้องจำและเพิ่มวัตถุในโปรไฟล์ผู้ใช้ทุกครั้งสำหรับการเข้าถึงประเภทต่างๆ

บทบาทสาธารณะ

นี่เป็นบทบาททั่วไปและถูกกำหนดให้กับผู้ใช้ฐานข้อมูลทั้งหมดตามค่าเริ่มต้น บทบาทนี้ประกอบด้วยการเข้าถึงมุมมองระบบแบบอ่านอย่างเดียวและเรียกใช้สิทธิ์สำหรับบางโพรซีเดอร์ ไม่สามารถเพิกถอนบทบาทเหล่านี้ได้

การสร้างแบบจำลอง

ประกอบด้วยสิทธิ์ทั้งหมดที่จำเป็นสำหรับการใช้ตัวสร้างโมเดลข้อมูลใน SAP HANA studio

สิทธิ์ของระบบ

มีสิทธิ์ของระบบหลายประเภทที่สามารถเพิ่มลงในโปรไฟล์ผู้ใช้ได้ ในการเพิ่มสิทธิ์ของระบบให้กับโปรไฟล์ผู้ใช้ให้คลิกที่เครื่องหมาย (+)

สิทธิ์ของระบบใช้สำหรับ Backup / Restore, User Administration, Instance start and stop เป็นต้น

ผู้ดูแลเนื้อหา

มันมีสิทธิพิเศษที่คล้ายกันในบทบาท MODELING แต่ด้วยการเพิ่มเติมว่าบทบาทนี้ได้รับอนุญาตให้มอบสิทธิ์เหล่านี้ให้กับผู้ใช้รายอื่น นอกจากนี้ยังมีสิทธิ์ที่เก็บเพื่อทำงานกับอ็อบเจ็กต์ที่อิมพอร์ต

ผู้ดูแลระบบข้อมูล

นี่เป็นสิทธิพิเศษอีกประเภทหนึ่งที่จำเป็นสำหรับการเพิ่มข้อมูลจากออบเจ็กต์ไปยังโปรไฟล์ผู้ใช้

ต่อไปนี้เป็นสิทธิ์ของระบบที่รองรับทั่วไป -

ATTACH DEBUGGER- อนุญาตการดีบักของการเรียกโพรซีเดอร์ซึ่งเรียกโดยผู้ใช้รายอื่น นอกจากนี้จำเป็นต้องมีสิทธิ์การแก้ปัญหาสำหรับขั้นตอนที่เกี่ยวข้อง

AUDIT ADMIN- ควบคุมการทำงานของคำสั่งที่เกี่ยวข้องกับการตรวจสอบดังต่อไปนี้: สร้างนโยบายการตรวจสอบนโยบายการตรวจสอบและแก้ไขนโยบายการตรวจสอบและการเปลี่ยนแปลงของการกำหนดค่าการตรวจสอบ ยังอนุญาตให้เข้าถึงมุมมองระบบ AUDIT_LOG

AUDIT OPERATOR- อนุญาตให้ดำเนินการคำสั่งต่อไปนี้: แก้ไขระบบล้างบันทึกการตรวจสอบ ยังอนุญาตให้เข้าถึงมุมมองระบบ AUDIT_LOG

BACKUP ADMIN - อนุญาตคำสั่งสำรองและกู้คืนสำหรับการกำหนดและเริ่มขั้นตอนการสำรองข้อมูลและการกู้คืน

BACKUP OPERATOR - อนุญาตคำสั่ง BACKUP เพื่อเริ่มกระบวนการสำรองข้อมูล

CATALOG READ- อนุญาตให้ผู้ใช้มีสิทธิ์เข้าถึงแบบอ่านอย่างเดียวสำหรับมุมมองระบบทั้งหมด โดยปกติเนื้อหาของมุมมองเหล่านี้จะถูกกรองตามสิทธิ์ของผู้ใช้ที่เข้าถึง

CREATE SCHEMA- อนุญาตให้สร้างสกีมาฐานข้อมูลโดยใช้คำสั่ง CREATE SCHEMA โดยค่าเริ่มต้นผู้ใช้แต่ละคนเป็นเจ้าของหนึ่งสคีมา ด้วยสิทธิ์นี้ผู้ใช้จะได้รับอนุญาตให้สร้างสคีมาเพิ่มเติม

CREATE STRUCTURED PRIVILEGE- อนุญาตให้สร้างสิทธิ์ที่มีโครงสร้าง (สิทธิ์ในการวิเคราะห์) มีเพียงเจ้าของสิทธิ์การวิเคราะห์เท่านั้นที่สามารถให้สิทธิ์หรือเพิกถอนสิทธิ์นั้นแก่ผู้ใช้หรือบทบาทอื่น ๆ ได้

CREDENTIAL ADMIN - อนุญาตคำสั่งข้อมูลประจำตัว: สร้าง / แก้ไข / ปล่อยเครดิต

DATA ADMIN- อนุญาตให้อ่านข้อมูลทั้งหมดในมุมมองระบบ นอกจากนี้ยังเปิดใช้งานคำสั่ง Data Definition Language (DDL) ในฐานข้อมูล SAP HANA ผู้ใช้ที่มีสิทธิ์นี้ไม่สามารถเลือกหรือเปลี่ยนตารางข้อมูลที่จัดเก็บไว้ซึ่งพวกเขาไม่มีสิทธิ์การเข้าถึง แต่สามารถวางตารางหรือแก้ไขคำจำกัดความของตารางได้

DATABASE ADMIN - อนุญาตคำสั่งทั้งหมดที่เกี่ยวข้องกับฐานข้อมูลในหลายฐานข้อมูลเช่น CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY

EXPORT- อนุญาตกิจกรรมการส่งออกในฐานข้อมูลผ่านคำสั่ง EXPORT TABLE โปรดทราบว่านอกเหนือจากสิทธิ์นี้ผู้ใช้ต้องการสิทธิ์ SELECT บนตารางต้นทางเพื่อส่งออก

IMPORT- อนุญาตกิจกรรมการนำเข้าในฐานข้อมูลโดยใช้คำสั่งนำเข้า โปรดทราบว่านอกเหนือจากสิทธิพิเศษนี้ผู้ใช้ต้องใช้สิทธิ์ INSERT บนตารางเป้าหมายเพื่อนำเข้า

INIFILE ADMIN - อนุญาตให้เปลี่ยนการตั้งค่าระบบ

LICENSE ADMIN - อนุญาตคำสั่ง SET SYSTEM LICENSE เพื่อติดตั้งใบอนุญาตใหม่

LOG ADMIN - อนุญาตคำสั่ง ALTER SYSTEM LOGGING [ON | OFF] เพื่อเปิดหรือปิดกลไกการล้างบันทึก

MONITOR ADMIN - อนุญาตคำสั่ง ALTER SYSTEM สำหรับเหตุการณ์

OPTIMIZER ADMIN - อนุญาตคำสั่ง ALTER SYSTEM ที่เกี่ยวข้องกับคำสั่ง SQL PLAN CACHE และ ALTER SYSTEM UPDATE STATISTICS ซึ่งมีผลต่อพฤติกรรมของเครื่องมือเพิ่มประสิทธิภาพการสืบค้น

RESOURCE ADMIN- อนุญาตคำสั่งเกี่ยวกับทรัพยากรระบบ ตัวอย่างเช่นแก้ไขระบบเรียกคืนข้อมูลและแก้ไขมุมมองการตรวจสอบการรีเซ็ตระบบ นอกจากนี้ยังอนุญาตหลายคำสั่งที่มีอยู่ในคอนโซลการจัดการ

ROLE ADMIN- อนุญาตให้สร้างและลบบทบาทโดยใช้คำสั่ง CREATE ROLE และ DROP ROLE นอกจากนี้ยังอนุญาตการอนุญาตและการเพิกถอนบทบาทโดยใช้คำสั่ง GRANT และ REVOKE

บทบาทที่เปิดใช้งานหมายถึงบทบาทที่ผู้สร้างเป็นผู้ใช้ _SYS_REPO ที่กำหนดไว้ล่วงหน้าไม่สามารถมอบให้กับบทบาทหรือผู้ใช้อื่นหรือลดลงโดยตรง ผู้ใช้ที่มีสิทธิ์ ROLE ADMIN จะไม่สามารถทำได้เช่นกัน โปรดตรวจสอบเอกสารเกี่ยวกับวัตถุที่เปิดใช้งาน

SAVEPOINT ADMIN - อนุญาตการดำเนินการของกระบวนการบันทึกโดยใช้คำสั่ง ALTER SYSTEM SAVEPOINT

ส่วนประกอบของฐานข้อมูล SAP HANA สามารถสร้างสิทธิ์ระบบใหม่ สิทธิ์เหล่านี้ใช้ชื่อคอมโพเนนต์เป็นตัวระบุแรกของสิทธิ์ระบบและ componentprivilege-name เป็นตัวระบุที่สอง

สิทธิ์ของวัตถุ / SQL

สิทธิ์ของวัตถุเรียกอีกอย่างว่าสิทธิ์ของ SQL สิทธิ์เหล่านี้ใช้เพื่ออนุญาตให้เข้าถึงวัตถุเช่นเลือกแทรกอัปเดตและลบตารางมุมมองหรือสคีมา

ต่อไปนี้เป็นประเภทของ Object Privileges -

  • สิทธิ์ของวัตถุบนวัตถุฐานข้อมูลที่มีอยู่ในรันไทม์เท่านั้น

  • สิทธิ์ของอ็อบเจ็กต์บนอ็อบเจ็กต์ที่เปิดใช้งานที่สร้างขึ้นในที่เก็บเช่นมุมมองการคำนวณ

  • สิทธิ์ของอ็อบเจ็กต์บนสกีมาที่มีอ็อบเจ็กต์ที่เปิดใช้งานที่สร้างขึ้นในที่เก็บ

  • Object / SQL Privileges คือคอลเล็กชันสิทธิ์ DDL และ DML ทั้งหมดบนอ็อบเจ็กต์ฐานข้อมูล

ต่อไปนี้คือ Object Privileges ที่รองรับโดยทั่วไป -

มีอ็อบเจ็กต์ฐานข้อมูลหลายตัวในฐานข้อมูล HANA ดังนั้นสิทธิ์ทั้งหมดจึงไม่สามารถใช้ได้กับอ็อบเจ็กต์ฐานข้อมูลทุกชนิด

Object Privileges และการบังคับใช้กับอ็อบเจ็กต์ฐานข้อมูล

สิทธิ์การวิเคราะห์ในโปรไฟล์ผู้ใช้

ในบางครั้งจำเป็นต้องไม่สามารถเข้าถึงข้อมูลในมุมมองเดียวกันได้โดยผู้ใช้รายอื่นที่ไม่มีข้อกำหนดที่เกี่ยวข้องสำหรับข้อมูลนั้น

สิทธิ์การวิเคราะห์ใช้เพื่อ จำกัด การเข้าถึงมุมมองข้อมูล HANA ที่ระดับออบเจ็กต์ เราสามารถใช้การรักษาความปลอดภัยระดับแถวและคอลัมน์ใน Analytic Privileges

Analytic Privileges ใช้สำหรับ -

  • การจัดสรรการรักษาความปลอดภัยระดับแถวและคอลัมน์สำหรับช่วงค่าเฉพาะ
  • การจัดสรรการรักษาความปลอดภัยระดับแถวและคอลัมน์สำหรับมุมมองแบบจำลอง

สิทธิพิเศษของแพ็คเกจ

ในที่เก็บ SAP HANA คุณสามารถตั้งค่าการอนุญาตแพ็กเกจสำหรับผู้ใช้เฉพาะหรือสำหรับบทบาท สิทธิพิเศษของแพ็กเกจใช้เพื่ออนุญาตให้เข้าถึงโมเดลข้อมูล - มุมมองการวิเคราะห์หรือการคำนวณหรือบนไปยังออบเจ็กต์ที่เก็บ สิทธิ์ทั้งหมดที่กำหนดให้กับแพ็กเกจที่เก็บจะถูกกำหนดให้กับแพ็กเกจย่อยทั้งหมดด้วย คุณยังสามารถระบุได้ว่าสามารถส่งต่อการอนุญาตผู้ใช้ที่กำหนดให้กับผู้ใช้รายอื่นได้หรือไม่

ขั้นตอนในการเพิ่มสิทธิ์แพ็คเกจในโปรไฟล์ผู้ใช้ -

  • Step 1- คลิกแท็บสิทธิ์แพ็คเกจใน HANA studio ใต้การสร้างผู้ใช้→เลือกเครื่องหมาย (+) เพื่อเพิ่มแพ็คเกจอย่างน้อยหนึ่งแพ็คเกจ ใช้ปุ่ม Ctrl เพื่อเลือกหลายแพ็คเกจ

  • Step 2 - ในไดอะล็อก Select Repository Package ให้ใช้ชื่อแพ็กเกจทั้งหมดหรือบางส่วนเพื่อค้นหาแพ็กเกจที่เก็บที่คุณต้องการอนุญาตการเข้าถึง

  • Step 3 - เลือกแพ็กเกจพื้นที่เก็บข้อมูลอย่างน้อยหนึ่งแพ็กเกจที่คุณต้องการอนุญาตการเข้าถึงแพ็กเกจที่เลือกจะปรากฏในแท็บสิทธิ์ของแพ็กเกจ

สิทธิ์การให้สิทธิ์ต่อไปนี้ใช้กับแพ็กเกจที่เก็บเพื่ออนุญาตให้ผู้ใช้แก้ไขอ็อบเจ็กต์ -

  • REPO.READ - อ่านการเข้าถึงแพคเกจที่เลือกและวัตถุเวลาออกแบบ (ทั้งเนทีฟและนำเข้า)

  • REPO.EDIT_NATIVE_OBJECTS - การอนุญาตให้แก้ไขวัตถุในแพ็คเกจ

  • Grantable to Others

หากคุณเลือก "ใช่" สำหรับสิ่งนี้สิ่งนี้จะช่วยให้การอนุญาตผู้ใช้ที่ได้รับมอบหมายสามารถส่งผ่านไปยังผู้ใช้รายอื่นได้

สิทธิ์การสมัคร

สิทธิ์ของแอปพลิเคชันในโปรไฟล์ผู้ใช้ที่ใช้เพื่อกำหนดการอนุญาตสำหรับการเข้าถึงแอปพลิเคชัน HANA XS สามารถกำหนดให้กับผู้ใช้รายบุคคลหรือกลุ่มผู้ใช้ นอกจากนี้ยังสามารถใช้สิทธิ์ของแอปพลิเคชันเพื่อให้ระดับการเข้าถึงที่แตกต่างกันไปยังแอปพลิเคชันเดียวกันเช่นเพื่อให้ฟังก์ชันขั้นสูงสำหรับผู้ดูแลระบบฐานข้อมูลและการเข้าถึงแบบอ่านอย่างเดียวสำหรับผู้ใช้ทั่วไป

ในการกำหนดสิทธิ์เฉพาะแอปพลิเคชันในโปรไฟล์ผู้ใช้หรือเพื่อเพิ่มกลุ่มผู้ใช้ควรใช้สิทธิ์ต่อไปนี้ -

  • ไฟล์สิทธิ์การใช้งาน (.xsprivileges)
  • ไฟล์การเข้าถึงแอปพลิเคชัน (.xsaccess)
  • ไฟล์นิยามบทบาท (<RoleName> .hdbrole)