Quản trị viên SAP HANA - Cấp phép người dùng

Cấu hình quản lý vai trò và người dùng SAP HANA phụ thuộc vào kiến ​​trúc của hệ thống HANA của bạn. Nếu SAP HANA được tích hợp với các công cụ nền tảng BI và hoạt động như một cơ sở dữ liệu báo cáo, thì người dùng cuối và vai trò được quản lý trong máy chủ ứng dụng.

Nếu người dùng cuối trực tiếp kết nối với cơ sở dữ liệu SAP HANA, thì người dùng và vai trò trong lớp cơ sở dữ liệu của hệ thống HANA là bắt buộc đối với cả người dùng cuối và quản trị viên.

Mỗi người dùng muốn làm việc với cơ sở dữ liệu HANA phải có một người dùng cơ sở dữ liệu với các đặc quyền cần thiết. Người dùng truy cập hệ thống HANA có thể là người dùng kỹ thuật hoặc người dùng cuối tùy thuộc vào yêu cầu truy cập. Sau khi đăng nhập thành công vào hệ thống, quyền của người dùng để thực hiện thao tác cần thiết sẽ được xác minh. Việc thực thi thao tác đó phụ thuộc vào các đặc quyền mà người dùng đã được cấp. Các đặc quyền này có thể được cấp bằng cách sử dụng các vai trò trong Bảo mật HANA. HANA Studio là một trong những công cụ mạnh mẽ để quản lý người dùng và các vai trò cho hệ thống cơ sở dữ liệu HANA.

Loại người dùng

Các loại người dùng khác nhau tùy theo chính sách bảo mật và các đặc quyền khác nhau được gán cho hồ sơ người dùng. Kiểu người dùng có thể là người dùng cơ sở dữ liệu kỹ thuật hoặc người dùng cuối. Người dùng cần truy cập vào hệ thống HANA để báo cáo mục đích hoặc thao tác dữ liệu.

Người dùng tiêu chuẩn

Người dùng chuẩn là người dùng có thể tạo các đối tượng trong các Lược đồ của riêng họ và có quyền truy cập Đọc trong mô hình thông tin hệ thống. Quyền truy cập đọc được cung cấp bởi vai trò PUBLIC, được gán cho mọi người dùng tiêu chuẩn.

Người dùng bị hạn chế

Người dùng bị hạn chế là những người dùng truy cập hệ thống HANA bằng một số ứng dụng và họ không có đặc quyền SQL trên hệ thống HANA. Khi những người dùng này được tạo, ban đầu họ không có bất kỳ quyền truy cập nào.

Nếu chúng tôi so sánh người dùng bị hạn chế với người dùng Chuẩn -

  • Người dùng bị hạn chế không thể tạo các đối tượng trong cơ sở dữ liệu HANA hoặc các Lược đồ của riêng họ.

  • Họ không có quyền truy cập để xem bất kỳ dữ liệu nào trong cơ sở dữ liệu vì họ không có vai trò Công khai chung được thêm vào hồ sơ như người dùng tiêu chuẩn.

  • Họ chỉ có thể kết nối với cơ sở dữ liệu HANA bằng HTTP / HTTPS.

Quản lý vai trò và quản trị người dùng HANA

Người dùng cơ sở dữ liệu kỹ thuật chỉ được sử dụng cho mục đích quản trị như tạo đối tượng mới trong cơ sở dữ liệu, gán đặc quyền cho người dùng khác, trên các gói, ứng dụng, v.v.

Hoạt động quản trị người dùng SAP HANA

Tùy thuộc vào nhu cầu kinh doanh và cấu hình của hệ thống HANA, có các hoạt động người dùng khác nhau có thể được thực hiện bằng các công cụ quản trị người dùng như HANA studio.

Hầu hết các hoạt động phổ biến bao gồm -

  • Tạo người dùng
  • Cấp vai trò cho người dùng
  • Xác định và tạo vai trò
  • Xóa người dùng
  • Đặt lại mật khẩu người dùng
  • Kích hoạt lại người dùng sau quá nhiều lần đăng nhập không thành công
  • Hủy kích hoạt người dùng khi được yêu cầu

Tạo người dùng trong HANA Studio

Chỉ những người dùng cơ sở dữ liệu có đặc quyền hệ thống ROLE ADMIN mới được phép tạo người dùng và vai trò trong HANA Studio. Để tạo người dùng và vai trò trong HANA Studio, hãy chuyển đến Bảng điều khiển dành cho quản trị viên HANA. Bạn sẽ thấy tab bảo mật trong chế độ xem Hệ thống.

Khi bạn mở rộng tab bảo mật, nó sẽ cung cấp tùy chọn Người dùng và Vai trò. Để tạo người dùng mới, nhấp chuột phải vào Người dùng và chuyển đến Người dùng mới. Một cửa sổ mới sẽ mở ra nơi bạn xác định các thông số Người dùng và Người dùng.

Nhập tên người dùng (ủy quyền) và trong trường Xác thực, nhập mật khẩu. Mật khẩu được áp dụng trong khi lưu mật khẩu cho người dùng mới. Bạn cũng có thể chọn tạo một người dùng bị hạn chế.

Tên vai trò đã chỉ định không được trùng với tên của người dùng hoặc vai trò hiện có. Các quy tắc về mật khẩu bao gồm độ dài mật khẩu tối thiểu và định nghĩa các loại ký tự (ký tự thường, ký tự trên, ký tự số, ký tự đặc biệt) phải là một phần của mật khẩu.

Các phương thức ủy quyền khác nhau có thể được định cấu hình như chứng chỉ SAML, X509, vé SAP Logon, v.v. Người dùng trong cơ sở dữ liệu có thể được xác thực bằng các cơ chế khác nhau -

  • Cơ chế xác thực nội bộ sử dụng mật khẩu.

  • Các cơ chế bên ngoài như Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket hoặc X.509.

  • Một người dùng có thể được xác thực bởi nhiều cơ chế cùng một lúc. Tuy nhiên, chỉ một mật khẩu và một tên chính cho Kerberos có thể hợp lệ bất kỳ lúc nào. Một cơ chế xác thực phải được chỉ định để cho phép người dùng kết nối và làm việc với phiên bản cơ sở dữ liệu.

Nó cũng cung cấp một tùy chọn để xác định tính hợp lệ của người dùng. Bạn có thể đề cập đến khoảng thời gian hiệu lực bằng cách chọn ngày. Đặc tả tính hợp lệ là một tham số người dùng tùy chọn.

Có một số người dùng được phân phối theo mặc định với cơ sở dữ liệu SAP HANA: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Khi điều này được thực hiện, tiếp theo là xác định các đặc quyền cho hồ sơ người dùng.

Các loại đặc quyền đối với hồ sơ người dùng

Có nhiều loại đặc quyền khác nhau có thể được thêm vào hồ sơ người dùng.

Vai trò được cấp

Điều này được sử dụng để thêm các vai trò sap.hana có sẵn vào hồ sơ người dùng hoặc để thêm các vai trò tùy chỉnh được tạo trong tab Vai trò. Vai trò tùy chỉnh cho phép bạn xác định các vai trò theo yêu cầu truy cập và bạn có thể thêm các vai trò này trực tiếp vào hồ sơ người dùng. Điều này loại bỏ nhu cầu nhớ và thêm các đối tượng vào hồ sơ người dùng mọi lúc cho các loại truy cập khác nhau.

Vai trò công cộng

Đây là một vai trò chung và được gán cho tất cả người dùng cơ sở dữ liệu theo mặc định. Vai trò này chứa quyền truy cập chỉ đọc vào các dạng xem hệ thống và thực thi các đặc quyền đối với một số thủ tục. Các vai trò này không thể bị thu hồi.

Mô hình hóa

Nó chứa tất cả các đặc quyền cần thiết để sử dụng trình tạo mô hình thông tin trong studio SAP HANA.

Đặc quyền hệ thống

Có nhiều loại đặc quyền Hệ thống khác nhau có thể được thêm vào hồ sơ người dùng. Để thêm các đặc quyền hệ thống vào hồ sơ người dùng, hãy nhấp vào dấu (+).

Đặc quyền hệ thống được sử dụng cho Sao lưu / Khôi phục, Quản trị Người dùng, Khởi động và dừng Phiên bản, v.v.

Quản trị nội dung

Nó chứa các đặc quyền tương tự như trong vai trò MODELING, nhưng với việc bổ sung rằng vai trò này được phép cấp các đặc quyền này cho người dùng khác. Nó cũng chứa các đặc quyền của kho lưu trữ để làm việc với các đối tượng được nhập.

Quản trị dữ liệu

Đây là một loại đặc quyền khác được yêu cầu để thêm Dữ liệu từ các đối tượng vào hồ sơ người dùng.

Sau đây là một số Đặc quyền Hệ thống được hỗ trợ phổ biến -

ATTACH DEBUGGER- Cho phép gỡ lỗi của một cuộc gọi thủ tục, được gọi bởi một người dùng khác. Ngoài ra, cần có đặc quyền GỠ LỖI cho quy trình tương ứng.

AUDIT ADMIN- Kiểm soát việc thực hiện các lệnh liên quan đến kiểm toán sau: TẠO CHÍNH SÁCH KIỂM TOÁN, HỎI CHÍNH SÁCH KIỂM TOÁN và CHÍNH SÁCH KIỂM TOÁN THAY THẾ và các thay đổi của cấu hình kiểm toán. Đồng thời cho phép truy cập vào chế độ xem hệ thống AUDIT_LOG.

AUDIT OPERATOR- Cho phép thực hiện lệnh sau: ALTER SYSTEM CLEAR AUDIT LOG. Đồng thời cho phép truy cập vào chế độ xem hệ thống AUDIT_LOG.

BACKUP ADMIN - Cho phép các lệnh BACKUP và RECOVERY để xác định và bắt đầu các thủ tục sao lưu và phục hồi.

BACKUP OPERATOR - Cho phép lệnh BACKUP để bắt đầu quá trình sao lưu.

CATALOG READ- Cho phép người dùng có quyền truy cập chỉ đọc chưa được lọc vào tất cả các chế độ xem hệ thống. Thông thường, nội dung của các khung nhìn này được lọc dựa trên các đặc quyền của người dùng truy cập.

CREATE SCHEMA- Cho phép tạo các lược đồ cơ sở dữ liệu bằng lệnh CREATE SCHEMA. Theo mặc định, mỗi người dùng sở hữu một lược đồ. Với đặc quyền này, người dùng được phép tạo các lược đồ bổ sung.

CREATE STRUCTURED PRIVILEGE- Cho phép tạo các Đặc quyền có Cấu trúc (Đặc quyền Phân tích). Chỉ chủ sở hữu của Đặc quyền phân tích mới có thể cấp thêm hoặc thu hồi đặc quyền đó cho người dùng hoặc vai trò khác.

CREDENTIAL ADMIN - Cho phép các lệnh xác thực: CREATE / ALTER / DROP CREDENTIAL.

DATA ADMIN- Cho phép đọc tất cả dữ liệu trong khung nhìn hệ thống. Nó cũng cho phép thực hiện bất kỳ lệnh Ngôn ngữ Định nghĩa Dữ liệu (DDL) nào trong cơ sở dữ liệu SAP HANA. Người dùng có đặc quyền này không thể chọn hoặc thay đổi bảng được lưu trữ dữ liệu mà họ không có đặc quyền truy cập, nhưng họ có thể bỏ bảng hoặc sửa đổi định nghĩa bảng.

DATABASE ADMIN - Cho phép tất cả các lệnh liên quan đến cơ sở dữ liệu trong đa cơ sở dữ liệu, chẳng hạn như CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.

EXPORT- Cho phép hoạt động xuất trong cơ sở dữ liệu thông qua lệnh EXPORT TABLE. Lưu ý rằng bên cạnh đặc quyền này, người dùng yêu cầu đặc quyền SELECT trên các bảng nguồn để được xuất.

IMPORT- Cho phép hoạt động nhập trong cơ sở dữ liệu bằng các lệnh IMPORT. Lưu ý rằng bên cạnh đặc quyền này, người dùng yêu cầu đặc quyền INSERT trên các bảng đích để được nhập.

INIFILE ADMIN - Cho phép thay đổi cài đặt hệ thống.

LICENSE ADMIN - Cho phép lệnh SET SYSTEM LICENSE để cài đặt giấy phép mới.

LOG ADMIN - Cho phép các lệnh ALTER SYSTEM LOGGING [ON | OFF] để bật hoặc tắt cơ chế xóa nhật ký.

MONITOR ADMIN - Cho phép các lệnh HỆ THỐNG ALTER cho EVENTs.

OPTIMIZER ADMIN - Cho phép các lệnh HỆ THỐNG ALTER liên quan đến SQL PLAN CACHE và các lệnh THỐNG KÊ CẬP NHẬT HỆ THỐNG ALTER, các lệnh này ảnh hưởng đến hoạt động của trình tối ưu hóa truy vấn.

RESOURCE ADMIN- Cho phép các lệnh liên quan đến tài nguyên hệ thống. Ví dụ, ALTER SYSTEM RECLAIM DATAVOLUME và ALTER SYSTEM ĐẶT LẠI CHẾ ĐỘ XEM THEO DÕI. Nó cũng cho phép nhiều lệnh có sẵn trong Bảng điều khiển quản lý.

ROLE ADMIN- Cho phép tạo và xóa các vai trò bằng lệnh CREATE ROLE và DROP ROLE. Nó cũng cho phép cấp và thu hồi các vai trò bằng cách sử dụng lệnh GRANT và REVOKE.

Các vai trò đã kích hoạt, nghĩa là các vai trò mà người tạo là người dùng được xác định trước _SYS_REPO, không thể được cấp cho các vai trò hoặc người dùng khác cũng như không bị bỏ trực tiếp. Người dùng có đặc quyền ROLE ADMIN cũng không thể làm như vậy. Vui lòng kiểm tra tài liệu liên quan đến các đối tượng được kích hoạt.

SAVEPOINT ADMIN - Cho phép thực hiện quá trình lưu điểm bằng lệnh ALTER SYSTEM SAVEPOINT.

Các thành phần của cơ sở dữ liệu SAP HANA có thể tạo các đặc quyền hệ thống mới. Các đặc quyền này sử dụng tên thành phần làm định danh đầu tiên của đặc quyền hệ thống và tên đặc quyền thành phần làm định danh thứ hai.

Đặc quyền đối tượng / SQL

Đặc quyền đối tượng còn được gọi là đặc quyền SQL. Các đặc quyền này được sử dụng để cho phép truy cập vào các đối tượng như Chọn, Chèn, Cập nhật và Xóa bảng, Chế độ xem hoặc Lược đồ.

Sau đây là các loại Đặc quyền Đối tượng -

  • Đặc quyền đối tượng trên các đối tượng cơ sở dữ liệu chỉ tồn tại trong thời gian chạy.

  • Đặc quyền đối tượng trên các đối tượng được kích hoạt được tạo trong kho lưu trữ, chẳng hạn như các chế độ xem tính toán.

  • Đặc quyền đối tượng trên lược đồ chứa các đối tượng đã được kích hoạt được tạo trong kho lưu trữ.

  • Đặc quyền đối tượng / SQL là tập hợp tất cả các đặc quyền DDL và DML trên các đối tượng cơ sở dữ liệu.

Sau đây là một số Đặc quyền Đối tượng thường được hỗ trợ:

Có nhiều đối tượng cơ sở dữ liệu trong cơ sở dữ liệu HANA, vì vậy không phải tất cả các đặc quyền đều có thể áp dụng cho tất cả các loại đối tượng cơ sở dữ liệu.

Đặc quyền đối tượng và khả năng áp dụng của chúng trên các đối tượng cơ sở dữ liệu.

Đặc quyền phân tích trong hồ sơ người dùng

Đôi khi, người dùng khác không thể truy cập dữ liệu trong cùng một chế độ xem, những người không có bất kỳ yêu cầu liên quan nào đối với dữ liệu đó.

Đặc quyền phân tích được sử dụng để giới hạn quyền truy cập trên Chế độ xem thông tin HANA ở cấp đối tượng. Chúng tôi có thể áp dụng bảo mật cấp hàng và cột trong Đặc quyền phân tích.

Đặc quyền phân tích được sử dụng cho -

  • Phân bổ bảo mật cấp hàng và cột cho phạm vi giá trị cụ thể
  • Phân bổ bảo mật cấp hàng và cột cho các chế độ xem mô hình

Đặc quyền gói

Trong kho lưu trữ SAP HANA, bạn có thể đặt ủy quyền gói cho một người dùng cụ thể hoặc cho một vai trò. Đặc quyền gói được sử dụng để cho phép truy cập vào các mô hình dữ liệu - dạng xem Phân tích hoặc Tính toán hoặc vào các đối tượng Kho lưu trữ. Tất cả các đặc quyền được gán cho một gói kho lưu trữ cũng được gán cho tất cả các gói con. Bạn cũng có thể đề cập đến việc các quyền người dùng được chỉ định có thể được chuyển cho người dùng khác hay không.

Các bước để thêm đặc quyền gói vào hồ sơ Người dùng -

  • Step 1- Nhấp vào tab Đặc quyền gói trong HANA studio trong phần Tạo người dùng → Chọn dấu (+) để thêm một hoặc nhiều gói. Sử dụng phím Ctrl để chọn nhiều gói.

  • Step 2 - Trong hộp thoại Chọn Gói Kho lưu trữ, sử dụng tất cả hoặc một phần tên gói để xác định gói kho lưu trữ mà bạn muốn cấp quyền truy cập.

  • Step 3 - Chọn một hoặc nhiều gói kho lưu trữ mà bạn muốn cấp quyền truy cập, các gói đã chọn sẽ xuất hiện trong tab Đặc quyền gói.

Các đặc quyền cấp sau được sử dụng trên các gói kho lưu trữ để cho phép người dùng sửa đổi các đối tượng -

  • REPO.READ - Đọc quyền truy cập vào gói đã chọn và các đối tượng thời gian thiết kế (cả gốc và nhập)

  • REPO.EDIT_NATIVE_OBJECTS - Quyền sửa đổi các đối tượng trong gói

  • Grantable to Others

Nếu bạn chọn 'Có' cho điều này, điều này cho phép ủy quyền người dùng được chỉ định chuyển cho những người dùng khác.

Đặc quyền ứng dụng

Các đặc quyền của ứng dụng trong hồ sơ người dùng được sử dụng để xác định quyền truy cập vào ứng dụng HANA XS. Điều này có thể được chỉ định cho một người dùng cá nhân hoặc cho một nhóm người dùng. Các đặc quyền của ứng dụng cũng có thể được sử dụng để cung cấp mức độ truy cập khác nhau vào cùng một ứng dụng, chẳng hạn như cung cấp các chức năng nâng cao cho người quản trị cơ sở dữ liệu và quyền truy cập chỉ đọc cho người dùng bình thường.

Để xác định các đặc quyền dành riêng cho Ứng dụng trong hồ sơ người dùng hoặc để thêm một nhóm người dùng, nên sử dụng các đặc quyền sau:

  • Tệp đặc quyền ứng dụng (.xsprivileges)
  • Tệp truy cập ứng dụng (.xsaccess)
  • Tệp định nghĩa vai trò (<RoleName> .hdbrole)