การดูแลผู้ใช้และการจัดการบทบาท

ผู้ใช้ฐานข้อมูลทางเทคนิคจะใช้เพื่อจุดประสงค์ในการดูแลระบบเท่านั้นเช่นการสร้างอ็อบเจ็กต์ใหม่ในฐานข้อมูลการกำหนดสิทธิ์ให้กับผู้ใช้รายอื่นบนแพ็คเกจแอปพลิเคชันเป็นต้น

กิจกรรมการดูแลผู้ใช้ SAP HANA

ขึ้นอยู่กับความต้องการทางธุรกิจและการกำหนดค่าของระบบ HANA มีกิจกรรมของผู้ใช้ที่แตกต่างกันซึ่งสามารถทำได้โดยใช้เครื่องมือการดูแลผู้ใช้เช่น HANA studio

กิจกรรมที่พบบ่อย ได้แก่ -

  • สร้างผู้ใช้
  • มอบบทบาทให้กับผู้ใช้
  • กำหนดและสร้างบทบาท
  • การลบผู้ใช้
  • การรีเซ็ตรหัสผ่านผู้ใช้
  • การเปิดใช้งานผู้ใช้อีกครั้งหลังจากพยายามเข้าสู่ระบบล้มเหลวหลายครั้งเกินไป
  • การปิดใช้งานผู้ใช้เมื่อจำเป็น

จะสร้างผู้ใช้ใน HANA Studio ได้อย่างไร

เฉพาะผู้ใช้ฐานข้อมูลที่มีสิทธิ์ระบบ ROLE ADMIN เท่านั้นที่ได้รับอนุญาตให้สร้างผู้ใช้และบทบาทใน HANA studio ในการสร้างผู้ใช้และบทบาทใน HANA studio ให้ไปที่ HANA Administrator Console คุณจะเห็นแท็บความปลอดภัยในมุมมองระบบ -

เมื่อคุณขยายแท็บความปลอดภัยจะมีตัวเลือกของผู้ใช้และบทบาท ในการสร้างผู้ใช้ใหม่ให้คลิกขวาที่ User และไปที่ New User หน้าต่างใหม่จะเปิดขึ้นเมื่อคุณกำหนดพารามิเตอร์ผู้ใช้และผู้ใช้

ป้อนชื่อผู้ใช้ (อาณัติ) และในฟิลด์การพิสูจน์ตัวตนให้ป้อนรหัสผ่าน ใช้รหัสผ่านในขณะที่บันทึกรหัสผ่านสำหรับผู้ใช้ใหม่ คุณยังสามารถเลือกสร้างผู้ใช้แบบ จำกัด ได้

ชื่อบทบาทที่ระบุต้องไม่เหมือนกับชื่อของผู้ใช้หรือบทบาทที่มีอยู่ กฎรหัสผ่านประกอบด้วยความยาวของรหัสผ่านขั้นต่ำและคำจำกัดความของประเภทอักขระ (ล่าง, บน, ตัวเลข, อักขระพิเศษ) ต้องเป็นส่วนหนึ่งของรหัสผ่าน

วิธีการอนุญาตที่แตกต่างกันสามารถกำหนดค่าได้เช่น SAML, ใบรับรอง X509, ตั๋วเข้าสู่ระบบ SAP เป็นต้นผู้ใช้ในฐานข้อมูลสามารถพิสูจน์ตัวตนได้โดยกลไกที่แตกต่างกัน -

กลไกการพิสูจน์ตัวตนภายในโดยใช้รหัสผ่าน

กลไกภายนอกเช่น Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket หรือ X.509

ผู้ใช้สามารถพิสูจน์ตัวตนได้โดยใช้กลไกมากกว่าหนึ่งครั้ง อย่างไรก็ตามรหัสผ่านเดียวและชื่อหลักเดียวสำหรับ Kerberos สามารถใช้ได้ในคราวเดียว ต้องระบุกลไกการพิสูจน์ตัวตนเดียวเพื่ออนุญาตให้ผู้ใช้เชื่อมต่อและทำงานกับอินสแตนซ์ฐานข้อมูล

นอกจากนี้ยังมีตัวเลือกในการกำหนดความถูกต้องของผู้ใช้คุณสามารถระบุช่วงเวลาที่ใช้ได้โดยเลือกวันที่ ข้อกำหนดความถูกต้องเป็นพารามิเตอร์ผู้ใช้ที่เป็นทางเลือก

ผู้ใช้บางรายที่ส่งมาพร้อมกับฐานข้อมูล SAP HANA ตามค่าเริ่มต้นคือ - SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS

เมื่อเสร็จแล้วขั้นตอนต่อไปคือกำหนดสิทธิ์สำหรับโปรไฟล์ผู้ใช้ มีสิทธิพิเศษหลายประเภทที่สามารถเพิ่มลงในโปรไฟล์ผู้ใช้ได้

มอบบทบาทให้กับผู้ใช้

ใช้เพื่อเพิ่มบทบาท SAP HANA ที่สร้างขึ้นในโปรไฟล์ผู้ใช้หรือเพื่อเพิ่มบทบาทแบบกำหนดเองที่สร้างขึ้นภายใต้แท็บบทบาท บทบาทที่กำหนดเองช่วยให้คุณกำหนดบทบาทตามข้อกำหนดการเข้าถึงและคุณสามารถเพิ่มบทบาทเหล่านี้ลงในโปรไฟล์ผู้ใช้โดยตรง การดำเนินการนี้จำเป็นต้องจดจำและเพิ่มวัตถุในโปรไฟล์ผู้ใช้ทุกครั้งสำหรับการเข้าถึงประเภทต่างๆ

PUBLIC- นี่คือบทบาททั่วไปและถูกกำหนดให้กับผู้ใช้ฐานข้อมูลทั้งหมดตามค่าเริ่มต้น บทบาทนี้มีสิทธิ์เข้าถึงมุมมองระบบแบบอ่านอย่างเดียวและเรียกใช้สิทธิ์สำหรับบางโพรซีเดอร์ ไม่สามารถเพิกถอนบทบาทเหล่านี้ได้

การสร้างแบบจำลอง

ประกอบด้วยสิทธิ์ทั้งหมดที่จำเป็นสำหรับการใช้ตัวสร้างโมเดลข้อมูลใน SAP HANA studio

สิทธิ์ของระบบ

มีสิทธิ์ของระบบหลายประเภทที่สามารถเพิ่มลงในโปรไฟล์ผู้ใช้ได้ หากต้องการเพิ่มสิทธิ์ของระบบให้กับโปรไฟล์ผู้ใช้ให้คลิกที่เครื่องหมาย +

สิทธิ์ของระบบใช้สำหรับ Backup / Restore, User Administration, Instance start and stop เป็นต้น

ผู้ดูแลเนื้อหา

มันมีสิทธิพิเศษที่คล้ายกันในบทบาท MODELING แต่ด้วยการเพิ่มเติมว่าบทบาทนี้ได้รับอนุญาตให้มอบสิทธิ์เหล่านี้ให้กับผู้ใช้รายอื่น นอกจากนี้ยังมีสิทธิ์ที่เก็บเพื่อทำงานกับอ็อบเจ็กต์ที่อิมพอร์ต

ผู้ดูแลระบบข้อมูล

นี่คือสิทธิพิเศษประเภทหนึ่งซึ่งจำเป็นสำหรับการเพิ่มข้อมูลจากออบเจ็กต์ไปยังโปรไฟล์ผู้ใช้

ด้านล่างนี้เป็นสิทธิ์ของระบบที่รองรับโดยทั่วไป -

แนบดีบักเกอร์

อนุญาตการดีบักของการเรียกโพรซีเดอร์ซึ่งเรียกโดยผู้ใช้รายอื่น นอกจากนี้จำเป็นต้องมีสิทธิ์การแก้ปัญหาสำหรับขั้นตอนที่เกี่ยวข้อง

ผู้ดูแลระบบตรวจสอบ

ควบคุมการดำเนินการของคำสั่งที่เกี่ยวข้องกับการตรวจสอบต่อไปนี้ - สร้างนโยบายการตรวจสอบนโยบายการตรวจสอบและแก้ไขนโยบายการตรวจสอบและการเปลี่ยนแปลงของการกำหนดค่าการตรวจสอบ ยังอนุญาตให้เข้าถึงมุมมองระบบ AUDIT_LOG

เจ้าหน้าที่ตรวจสอบ

อนุญาตให้ดำเนินการคำสั่งต่อไปนี้ - ALTER SYSTEM CLEAR AUDIT LOG ยังอนุญาตให้เข้าถึงมุมมองระบบ AUDIT_LOG

ผู้ดูแลระบบสำรอง

อนุญาตคำสั่ง BACKUP และ RECOVERY สำหรับการกำหนดและเริ่มขั้นตอนการสำรองข้อมูลและการกู้คืน

ตัวดำเนินการสำรองข้อมูล

อนุญาตให้คำสั่ง BACKUP เริ่มต้นกระบวนการสำรองข้อมูล

อ่านแคตตาล็อก

อนุญาตให้ผู้ใช้มีสิทธิ์เข้าถึงแบบอ่านอย่างเดียวสำหรับมุมมองระบบทั้งหมด โดยปกติเนื้อหาของมุมมองเหล่านี้จะถูกกรองตามสิทธิ์ของผู้ใช้ที่เข้าถึง

สร้างสคีมา

อนุญาตให้สร้างสกีมาฐานข้อมูลโดยใช้คำสั่ง CREATE SCHEMA โดยค่าเริ่มต้นผู้ใช้แต่ละคนเป็นเจ้าของหนึ่งสคีมาโดยสิทธิ์นี้ผู้ใช้จะได้รับอนุญาตให้สร้างสกีมาเพิ่มเติม

สร้างสิทธิพิเศษที่มีโครงสร้าง

อนุญาตให้สร้าง Structured Privileges (Analytical Privileges) มีเพียงเจ้าของสิทธิ์การวิเคราะห์เท่านั้นที่สามารถให้สิทธิ์หรือเพิกถอนสิทธิ์นั้นแก่ผู้ใช้หรือบทบาทอื่น ๆ ได้

ผู้ดูแลระบบข้อมูลรับรอง

มันอนุญาตคำสั่งหนังสือรับรอง - CREATE / ALTER / DROP CREDENTIAL

ผู้ดูแลระบบข้อมูล

อนุญาตให้อ่านข้อมูลทั้งหมดในมุมมองระบบ นอกจากนี้ยังเปิดใช้งานคำสั่ง Data Definition Language (DDL) ในฐานข้อมูล SAP HANA

ผู้ใช้ที่มีสิทธิ์นี้ไม่สามารถเลือกหรือเปลี่ยนแปลงตารางข้อมูลที่จัดเก็บไว้ซึ่งพวกเขาไม่มีสิทธิ์ในการเข้าถึง แต่สามารถวางตารางหรือแก้ไขคำจำกัดความของตารางได้

ผู้ดูแลระบบฐานข้อมูล

อนุญาตคำสั่งทั้งหมดที่เกี่ยวข้องกับฐานข้อมูลในหลายฐานข้อมูลเช่น CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY

ส่งออก

อนุญาตกิจกรรมการส่งออกในฐานข้อมูลผ่านคำสั่ง EXPORT TABLE

โปรดทราบว่าข้างสิทธิ์นี้ผู้ใช้ต้องใช้สิทธิ์ SELECT บนตารางต้นทางเพื่อส่งออก

นำเข้า

อนุญาตกิจกรรมการนำเข้าในฐานข้อมูลโดยใช้คำสั่ง IMPORT

โปรดทราบว่าข้างสิทธิ์นี้ผู้ใช้ต้องใช้สิทธิ์ INSERT บนตารางเป้าหมายเพื่อนำเข้า

ผู้ดูแลระบบ Inifile

อนุญาตให้เปลี่ยนการตั้งค่าระบบ

ผู้ดูแลใบอนุญาต

อนุญาตให้คำสั่ง SET SYSTEM LICENSE ติดตั้งใบอนุญาตใหม่

เข้าสู่ระบบผู้ดูแลระบบ

มันอนุญาตคำสั่ง ALTER SYSTEM LOGGING [ON | OFF] เพื่อเปิดหรือปิดใช้งานกลไกการล้างบันทึก

ตรวจสอบผู้ดูแลระบบ

มันอนุญาตคำสั่ง ALTER SYSTEM สำหรับ EVENT

ผู้ดูแลระบบเครื่องมือเพิ่มประสิทธิภาพ

มันอนุญาตคำสั่ง ALTER SYSTEM ที่เกี่ยวข้องกับคำสั่ง SQL PLAN CACHE และ ALTER SYSTEM UPDATE STATISTICS ซึ่งมีผลต่อพฤติกรรมของเครื่องมือเพิ่มประสิทธิภาพการสืบค้น

ผู้ดูแลทรัพยากร

สิทธิ์นี้อนุญาตคำสั่งเกี่ยวกับทรัพยากรระบบ ตัวอย่างเช่นแก้ไขระบบเรียกคืนข้อมูลและแก้ไขมุมมองการตรวจสอบการรีเซ็ตระบบ นอกจากนี้ยังอนุญาตหลายคำสั่งที่มีอยู่ในคอนโซลการจัดการ

ผู้ดูแลบทบาท

สิทธิ์นี้อนุญาตให้สร้างและลบบทบาทโดยใช้คำสั่ง CREATE ROLE และ DROP ROLE นอกจากนี้ยังอนุญาตการอนุญาตและการเพิกถอนบทบาทโดยใช้คำสั่ง GRANT และ REVOKE

บทบาทที่เปิดใช้งานหมายถึงบทบาทที่ผู้สร้างเป็นผู้ใช้ _SYS_REPO ที่กำหนดไว้ล่วงหน้าไม่สามารถมอบให้กับบทบาทหรือผู้ใช้อื่นหรือลดลงโดยตรง แม้แต่ผู้ใช้ที่มีสิทธิ์ ROLE ADMIN ก็สามารถทำได้ โปรดตรวจสอบเอกสารเกี่ยวกับวัตถุที่เปิดใช้งาน

ผู้ดูแลระบบ Savepoint

อนุญาตให้ดำเนินการของกระบวนการบันทึกโดยใช้คำสั่ง ALTER SYSTEM SAVEPOINT

ส่วนประกอบของฐานข้อมูล SAP HANA สามารถสร้างสิทธิ์ระบบใหม่ สิทธิพิเศษเหล่านี้ใช้ชื่อคอมโพเนนต์เป็นตัวระบุแรกของสิทธิ์ระบบและส่วนประกอบ - สิทธิ์ - ชื่อเป็นตัวระบุที่สอง

สิทธิ์ของวัตถุ / SQL

สิทธิ์ของวัตถุเรียกอีกอย่างว่าสิทธิ์ของ SQL สิทธิ์เหล่านี้ใช้เพื่ออนุญาตการเข้าถึงวัตถุเช่นเลือกแทรกอัปเดตและลบตารางมุมมองหรือแบบแผน

ด้านล่างนี้เป็นประเภทของ Object Privileges ที่เป็นไปได้ -

  • สิทธิ์ของวัตถุบนวัตถุฐานข้อมูลที่มีอยู่ในรันไทม์เท่านั้น

  • สิทธิ์ของอ็อบเจ็กต์บนอ็อบเจ็กต์ที่เปิดใช้งานที่สร้างขึ้นในที่เก็บเช่นมุมมองการคำนวณ

  • สิทธิ์ของอ็อบเจ็กต์บนสกีมาที่มีอ็อบเจ็กต์ที่เปิดใช้งานที่สร้างในที่เก็บ

  • Object / SQL Privileges คือคอลเล็กชันสิทธิ์ DDL และ DML ทั้งหมดบนอ็อบเจ็กต์ฐานข้อมูล

ด้านล่างนี้คือ Object Privileges ที่รองรับทั่วไป -

มีอ็อบเจ็กต์ฐานข้อมูลหลายตัวในฐานข้อมูล HANA ดังนั้นสิทธิ์ทั้งหมดจึงไม่สามารถใช้ได้กับอ็อบเจ็กต์ฐานข้อมูลทุกชนิด

Object Privileges และการบังคับใช้กับอ็อบเจ็กต์ฐานข้อมูล -

สิทธิ์ในการวิเคราะห์

ในบางครั้งผู้ใช้รายอื่นไม่ควรเข้าถึงข้อมูลในมุมมองเดียวกันที่ไม่มีข้อกำหนดที่เกี่ยวข้องใด ๆ สำหรับข้อมูลนั้น

สิทธิ์การวิเคราะห์ใช้เพื่อ จำกัด การเข้าถึงมุมมองข้อมูล HANA ที่ระดับออบเจ็กต์ เราสามารถใช้การรักษาความปลอดภัยระดับแถวและคอลัมน์ใน Analytic Privileges

Analytic Privileges ใช้สำหรับ -

  • การจัดสรรการรักษาความปลอดภัยระดับแถวและคอลัมน์สำหรับช่วงค่าเฉพาะ
  • การจัดสรรการรักษาความปลอดภัยระดับแถวและคอลัมน์สำหรับมุมมองแบบจำลอง

สิทธิพิเศษของแพ็คเกจ

ในที่เก็บ SAP HANA คุณสามารถตั้งค่าการอนุญาตแพ็กเกจสำหรับผู้ใช้เฉพาะหรือสำหรับบทบาท สิทธิพิเศษของแพ็กเกจใช้เพื่ออนุญาตให้เข้าถึงโมเดลข้อมูล - มุมมองการวิเคราะห์หรือการคำนวณหรือบนไปยังออบเจ็กต์ที่เก็บ สิทธิ์ทั้งหมดที่กำหนดให้กับแพ็กเกจที่เก็บจะถูกกำหนดให้กับแพ็กเกจย่อยทั้งหมดด้วย คุณยังสามารถระบุว่าสามารถส่งต่อการอนุญาตผู้ใช้ที่กำหนดให้กับผู้ใช้รายอื่นได้หรือไม่

ขั้นตอนในการเพิ่มสิทธิ์แพ็คเกจในโปรไฟล์ผู้ใช้ -

  • คลิกที่แท็บสิทธิ์แพ็คเกจใน HANA studio ใต้การสร้างผู้ใช้→เลือก + เพื่อเพิ่มแพ็คเกจอย่างน้อยหนึ่งแพ็คเกจ ใช้ปุ่ม Ctrl เพื่อเลือกหลายแพ็คเกจ

  • ในไดอะล็อก Select Repository Package ให้ใช้ชื่อแพ็กเกจทั้งหมดหรือบางส่วนเพื่อค้นหาแพ็กเกจที่เก็บที่คุณต้องการอนุญาตการเข้าถึง

  • เลือกแพ็กเกจที่เก็บอย่างน้อยหนึ่งแพ็กเกจที่คุณต้องการอนุญาตการเข้าถึงแพ็กเกจที่เลือกจะปรากฏในแท็บสิทธิ์แพ็กเกจ

ให้ด้านล่างนี้เป็นสิทธิพิเศษที่ใช้กับแพ็กเกจที่เก็บเพื่ออนุญาตให้ผู้ใช้แก้ไขอ็อบเจ็กต์ -

  • REPO.READ - อ่านการเข้าถึงแพคเกจที่เลือกและวัตถุเวลาออกแบบ (ทั้งเนทีฟและนำเข้า)

  • REPO.EDIT_NATIVE_OBJECTS - การอนุญาตให้แก้ไขวัตถุในแพ็คเกจ

  • Grantable to Others - หากคุณเลือก "ใช่" สำหรับสิ่งนี้สิ่งนี้จะช่วยให้การอนุญาตผู้ใช้ที่ได้รับมอบหมายสามารถส่งต่อไปยังผู้ใช้รายอื่นได้

สิทธิ์การสมัคร

สิทธิ์ของแอปพลิเคชันในโปรไฟล์ผู้ใช้ใช้เพื่อกำหนดการอนุญาตสำหรับการเข้าถึงแอปพลิเคชัน HANA XS สามารถกำหนดให้กับผู้ใช้แต่ละคนหรือกลุ่มผู้ใช้ นอกจากนี้ยังสามารถใช้สิทธิ์ของแอปพลิเคชันเพื่อให้ระดับการเข้าถึงที่แตกต่างกันไปยังแอปพลิเคชันเดียวกันเช่นเพื่อให้ฟังก์ชันขั้นสูงสำหรับผู้ดูแลระบบฐานข้อมูลและการเข้าถึงแบบอ่านอย่างเดียวสำหรับผู้ใช้ทั่วไป

ในการกำหนดสิทธิ์เฉพาะแอปพลิเคชันในโปรไฟล์ผู้ใช้หรือเพื่อเพิ่มกลุ่มผู้ใช้ควรใช้สิทธิ์ด้านล่าง -

  • ไฟล์สิทธิ์การใช้งาน (.xsprivileges)
  • ไฟล์การเข้าถึงแอปพลิเคชัน (.xsaccess)
  • ไฟล์นิยามบทบาท (<RoleName> .hdbrole)