Keamanan SAP HANA: Tutorial Lengkap

Daftar Isi:

Anonim
Apa itu Sap Hana Security?

Keamanan SAP HANA melindungi data penting dari akses yang tidak sah dan memastikan bahwa standar dan kepatuhan memenuhi sebagai standar keamanan yang diadopsi oleh perusahaan.

SAP HANA menyediakan fasilitas yaitu database Multitenant, di mana beberapa database dapat dibuat pada satu Sistem SAP HANA. Ini dikenal sebagai wadah database multitenant. Jadi SAP HANA menyediakan semua fitur terkait keamanan untuk semua wadah database multitenant.

SAP HANA Menyediakan fitur terkait keamanan berikut -

  • Manajemen Pengguna dan Peran
  • Otorisasi
  • Autentikasi
  • Enkripsi data di Persistence Layer
  • Enkripsi data di Lapisan Jaringan

Pengguna dan Peran SAP HANA

Konfigurasi manajemen Pengguna dan Peran SAP HANA bergantung pada arsitektur seperti di bawah ini -

  1. Arsitektur 3-Tingkat.

    SAP HANA dapat digunakan sebagai database relasional dalam Arsitektur 3-Tier.

    Dalam arsitektur ini, fitur keamanan (otorisasi, otentikasi, enkripsi, dan audit) diinstal pada lapisan server aplikasi.

    Aplikasi SAP (ERP, BW, dll.) Terhubung ke database hanya dengan bantuan pengguna teknis atau administrator database (Basis Person). Pengguna akhir tidak dapat langsung mengakses ke database atau server database.

  1. Arsitektur 2-Tingkat.

    SAP HANA Extended Application Services (SAP HANA XS) didasarkan pada Arsitektur 2 -Tier, di mana server Aplikasi, Server Web, dan Lingkungan Pengembangan disematkan dalam satu sistem.

Otentikasi SAP HANA

Pengguna database mengidentifikasi siapa yang mengakses Database SAP HANA. Ini diverifikasi melalui proses bernama "Otentikasi." SAP HANA mendukung banyak metode otentikasi. Single Sign-on (SSO) digunakan untuk mengintegrasikan beberapa metode Otentikasi.

SAP HANA mendukung metode otentikasi berikut -

  • Kerberos: Ini dapat digunakan dalam kasus berikut -
    • Langsung dari JDBC dan ODBC Client (SAP HANA Studio).
    • Saat HTTP digunakan untuk mengakses SAP HANA XS.
  • Nama Pengguna / Kata Sandi

    Saat pengguna memasukkan nama pengguna dan kata sandi database mereka, maka SAP HANA Database mengautentikasi pengguna.

  • Security Assertion Markup Language (SAML)

    SAML dapat digunakan untuk mengotentikasi Pengguna SAP HANA, yang mengakses Database SAP HANA secara langsung melalui ODBC / JDBC. Ini adalah proses pemetaan identitas pengguna eksternal ke pengguna database internal, sehingga pengguna dapat login di database sap dengan ID pengguna eksternal.

  • Tiket Masuk dan Pernyataan SAP

    Pengguna dapat diautentikasi dengan Tiket Masuk atau Pernyataan, yang dikonfigurasi dan dikeluarkan untuk pengguna untuk membuat tiket.

  • Sertifikat Klien X.509

    Saat SAP HANA XS Access oleh HTTP, sertifikat Klien yang ditandatangani oleh otoritas Sertifikasi (CA) tepercaya dapat digunakan untuk mengautentikasi pengguna.

Otorisasi SAP HANA

Otorisasi SAP HANA diperlukan saat pengguna menggunakan antarmuka klien (JDBC, ODBC, atau HTTP) untuk mengakses database SAP HANA.

Bergantung pada otorisasi yang diberikan kepada pengguna, itu bisa melakukan operasi database pada objek database. Otorisasi ini disebut, "hak istimewa".

Hak Istimewa dapat diberikan kepada pengguna secara langsung atau tidak langsung (melalui peran). Semua Hak Istimewa yang diberikan kepada pengguna digabungkan sebagai satu kesatuan.

Saat pengguna mencoba mengakses objek Database SAP HANA, Sistem HANA melakukan pemeriksaan otorisasi pada pengguna melalui peran pengguna dan secara langsung memberikan hak istimewa.

Ketika Hak Istimewa yang diminta ditemukan, sistem HANA melewatkan pemeriksaan lebih lanjut dan memberikan akses untuk meminta objek database.

Di SAP HANA, hak istimewa berikut adalah -

Jenis Hak Istimewa Deskripsi
Hak Istimewa Sistem Ini mengontrol aktivitas sistem normal. Hak Istimewa Sistem terutama digunakan untuk -
  • Membuat dan Menghapus Skema di Database SAP HANA
  • Mengelola pengguna dan peran dalam Database SAP HANA
  • Pemantauan dan penelusuran database SAP HANA
  • Melakukan backup data
  • Mengelola lisensi
  • Mengelola versi
  • Mengelola Audit
  • Mengimpor dan Mengekspor konten
  • Mempertahankan Unit Pengiriman
Hak Istimewa Objek Hak Istimewa Objek adalah hak istimewa SQL yang digunakan untuk memberikan otorisasi untuk membaca dan mengubah objek database. Untuk mengakses objek database pengguna memerlukan hak istimewa objek pada objek database atau skema di mana objek database ada. Hak istimewa objek dapat diberikan ke objek katalog (tabel, tampilan, dll.) Atau objek non-katalog (objek pengembangan). Hak Istimewa Objek adalah sebagai berikut -
  • BUAT APA PUN
  • UPDATE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE
  • INDEX, TRIGGER, DEBUG, REFERENSI
Hak Istimewa Analitik Hak Istimewa Analitik digunakan untuk memungkinkan akses baca pada data model Informasi SAP HANA (tampilan atribut, Tampilan Analitik, Tampilan kalkulasi).
  • Hak istimewa ini dievaluasi selama pemrosesan kueri.
  • Hak Istimewa Analitik memberikan akses pengguna yang berbeda pada bagian data yang berbeda di
  • Tampilan informasi yang sama berdasarkan peran pengguna.
  • Hak Istimewa Analitik digunakan dalam database SAP HANA untuk menyediakan data tingkat baris
Kontrol bagi pengguna individu untuk melihat data dalam tampilan yang sama.
Hak Istimewa Paket Hak Istimewa Paket digunakan untuk memberikan otorisasi untuk tindakan pada paket individual di SAP HANA Repository.
Hak Istimewa Aplikasi Hak Istimewa Aplikasi diperlukan di Dalam SAP HANA Extended Application Services (SAP HANA XS) untuk aplikasi akses. Hak aplikasi diberikan dan dicabut melalui prosedur prosedurGRANT_APPLICATION_PRIVILEGE dan REVOKE_APPLICATION_PRIVILEGE dalam skema _SYS_REPO.
Hak Istimewa untuk Pengguna Ini adalah Hak Istimewa SQL, yang dapat diberikan oleh pengguna pada pengguna sendiri. Lampirkan DEBUGGER adalah satu-satunya hak istimewa yang dapat diberikan kepada pengguna.

Administrasi Pengguna SAP HANA dan Manajemen Peran

Untuk Mengakses Database SAP HANA, pengguna diperlukan. Bergantung pada kebijakan keamanan yang berbeda, ada dua jenis pengguna di SAP HANA seperti di bawah ini -

  1. Pengguna Teknis (Pengguna DBA) - Ini adalah pengguna yang secara langsung bekerja dengan database SAP HANA dengan hak istimewa yang diperlukan. Biasanya, pengguna ini tidak terhapus dari database.

    Pengguna ini dibuat untuk tugas administratif seperti membuat objek dan memberikan hak istimewa pada objek database atau aplikasi.

    Sistem Database SAP HANA menyediakan pengguna berikut secara default sebagai pengguna standar-

  • SISTEM
  • SYS
  • _SYS_REPO
  1. Database atau Pengguna Nyata: Setiap pengguna yang ingin mengerjakan database SAP HANA, membutuhkan pengguna database. Pengguna database adalah orang sungguhan yang bekerja di SAP HANA.

    Ada dua jenis pengguna Database seperti di bawah ini -

Tipe Pengguna Deskripsi Peran ditetapkan
Pengguna Standar Pengguna ini dapat membuat objek dalam skema sendiri dan membaca data dalam tampilan sistem. Pengguna Standar dibuat dengan pernyataan "CREATE USER". Peran PUBLIK ditetapkan untuk tampilan sistem baca.
Pengguna yang Dibatasi Pengguna Terbatas tidak memiliki Akses SQL penuh melalui Konsol SQL dan dibuat dengan pernyataan "BUAT PENGGUNA TERBATAS". Jika Hak Istimewa diperlukan untuk penggunaan aplikasi apa pun, maka Hak Istimewa diberikan melalui peran.
  • Pengguna yang Dibatasi tidak dapat membuat objek database.
  • Pengguna yang Dibatasi tidak dapat melihat data dalam database.
  • Pengguna Terbatas terhubung ke database melalui HTTP Saja.
  • Akses ODBC / JDBC untuk koneksi klien harus diaktifkan dengan pernyataan SQL.
 RESTRICTED_USER_ODBC_ACCESS atau RESTRICTED_USER_JDBC_ACCESS peran diperlukan untuk pengguna untuk Akses Penuh fungsi ODBC / JDBC

Administrator Pengguna SAP HANA memiliki akses ke aktivitas berikut -

  1. Buat / hapus Pengguna.
  2. Tentukan dan Buat Peran.
  3. Berikan Peran kepada pengguna.
  4. Mengatur ulang kata sandi pengguna.
  5. Aktifkan kembali / nonaktifkan pengguna sesuai kebutuhan.
  1. Buat Pengguna di SAP HANA- pengguna database saja dengan hak istimewa ROLE ADMIN dapat membuat pengguna dan peran di SAP HANA.

    Langkah 1) Untuk membuat pengguna baru di SAP HANA Studio, buka tab keamanan seperti yang ditunjukkan di bawah ini dan ikuti langkah-langkah berikut;

    1. Pergi ke node keamanan.
    2. Pilih Pengguna (Klik Kanan) -> Pengguna Baru.

    Langkah 2) Layar pembuatan pengguna muncul.

    1. Masukkan nama pengguna.
    2. Masukkan Kata Sandi untuk pengguna tersebut.
    3. Ini adalah mekanisme otentikasi, secara default Nama pengguna / kata sandi digunakan untuk otentikasi.

Dengan mengklik pada tombol deploy, pengguna akan dibuat.

2. Tentukan dan Buat Peran

Peran adalah kumpulan hak istimewa yang dapat diberikan kepada pengguna atau peran lain. Peran tersebut mencakup hak istimewa untuk objek & aplikasi database dan bergantung pada sifat pekerjaan.

Ini adalah mekanisme standar untuk memberikan hak istimewa. Hak istimewa dapat langsung diberikan kepada pengguna. Ada banyak peran standar (misalnya PEMODELAN, PEMANTAUAN, dll.) Yang tersedia di database SAP HANA.

Kita dapat menggunakan peran standar sebagai templat untuk membuat peran khusus.

Peran dapat berisi hak istimewa berikut -

  • Hak Istimewa Sistem untuk tugas administrasi dan pengembangan (KATALOG BACA, AUDIT ADMIN, dll.)
  • Hak Istimewa Objek untuk objek database (SELECT, INSERT, DELETE, dll.)
  • Hak Istimewa Analitik untuk Tampilan Informasi SAP HANA
  • Hak Istimewa Paket pada paket repositori (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, dll.)
  • Hak Istimewa Aplikasi untuk aplikasi SAP HANA XS.
  • Hak istimewa pada pengguna (Untuk prosedur Debugging).

Penciptaan Peran

Langkah 1) Pada langkah ini,

  1. Buka node Keamanan di Sistem SAP HANA.
  2. Pilih Role Node (Klik Kanan) dan pilih New Role.

Langkah 2) Layar pembuatan peran ditampilkan.

  1. Beri nama Peran di bawah Blok Peran Baru.
  2. Pilih tab Peran Diberikan, dan klik Ikon "+" untuk menambahkan Peran Standar atau peran keluar.
  3. Pilih peran yang diinginkan (mis. PEMODELAN, PEMANTAUAN, dll.)

LANGKAH 3) Pada langkah ini,

  1. Peran yang Dipilih ditambahkan di Tab Peran Yang Diberikan.
  2. Hak Istimewa dapat ditetapkan ke pengguna secara langsung dengan memilih Hak Istimewa Sistem, Hak Istimewa objek, Hak Analitik, Hak Istimewa Paket, dll.
  3. Klik ikon terapkan untuk membuat Peran.

Centang opsi "Diberikan kepada pengguna dan peran lain", jika Anda ingin menetapkan peran ini ke pengguna dan peran lain.

3. Berikan Peran kepada Pengguna

LANGKAH 1) Pada langkah ini, kami akan Menetapkan Peran "MODELLING_VIEW" ke pengguna lain "ABHI_TEST".

  1. Buka Sub-node pengguna di bawah node Keamanan dan klik dua kali. Jendela pengguna akan ditampilkan.
  2. Klik Ikon "+" Peran yang diberikan.
  3. Sebuah pop-up akan muncul, nama Peran Pencarian yang akan diberikan kepada pengguna.

LANGKAH 2) Pada langkah ini, peran "MODELLING_VIEW" akan ditambahkan di bawah Peran.

LANGKAH 3) Pada langkah ini,

  1. Klik pada Tombol Deploy.
  2. Pesan "Pengguna 'ABHI_TEST" berubah ditampilkan.

4. Mengatur Ulang Kata Sandi Pengguna

Jika kata sandi pengguna perlu disetel ulang, buka Sub-node pengguna di bawah Node keamanan dan klik dua kali. Jendela pengguna akan ditampilkan.

LANGKAH 1) Pada langkah ini,

  1. Masukan kata sandi baru.
  2. Masukkan Konfirmasi kata sandi.

LANGKAH 2) Pada langkah ini,

  1. Klik pada Tombol Deploy.
  2. Pesan "Pengguna 'ABHI_TEST" diubah ditampilkan.

5. Aktifkan Kembali / Nonaktifkan Pengguna

Buka Sub-node pengguna di bawah node Keamanan dan klik dua kali. Jendela pengguna akan ditampilkan.

Ada ikon De-Activate User. Klik di atasnya

Pesan konfirmasi "Popup" akan muncul. Klik pada Tombol 'Ya'.

Pesan "Pengguna 'ABHI_TEST' dinonaktifkan" akan ditampilkan. Ikon De-Activate berubah dengan nama "Activate user". Sekarang kita dapat mengaktifkan pengguna dari ikon yang sama.

Manajemen Lisensi SAP HANA

Kunci lisensi diperlukan untuk menggunakan Database SAP HANA. Kunci lisensi dapat diinstal dan dihapus menggunakan SAP HANA Studio, alat Baris Perintah SAP HANA HDBSQL, dan editor HANA SQL Query.

Database SAP HANA mendukung dua jenis kunci lisensi -

  • Kunci Lisensi Permanen: Kunci lisensi permanen berlaku hingga tanggal kedaluwarsa. Kami perlu meminta dan menerapkan kunci lisensi sebelum kedaluwarsa. Jika kunci lisensi kedaluwarsa maka Kunci Lisensi Sementara secara otomatis dipasang selama 28 hari.
  • Kunci Lisensi Sementara: Ini secara otomatis diinstal dengan Instalasi Database SAP HANA yang baru. Ini berlaku selama 90 hari dan kemudian dapat mengajukan kunci Permanen dari SAP.

Otorisasi Manajemen Lisensi

Hak istimewa "LICENSE ADMIN" diperlukan untuk Manajemen Lisensi.

Audit SAP HANA

Fitur SAP HANA Auditing memungkinkan Anda untuk memantau dan merekam tindakan yang dilakukan di Sistem SAP HANA. Fitur ini harus diaktifkan untuk sistem sebelum membuat kebijakan audit.

Otorisasi untuk SAP HANA Auditing

Hak Istimewa Sistem "AUDIT ADMIN" diperlukan untuk SAP HANA Auditing.

Ringkasan :

Dalam tutorial ini, kita telah mempelajari topik berikut -

  • Ikhtisar Keamanan SAP HANA.
  • Otentikasi SAP HANA secara detail.
  • Otorisasi SAP HANA secara detail.
  • Metode Administrasi Pengguna SAP HANA.
  • Metode Administrasi Peran SAP HANA
  • Proses Manajemen Lisensi SAP HANA.
  • Proses Audit Peran SAP HANA.