Учебники

SAP HANA Admin — подготовка пользователей

Май 1, 2018

Конфигурация управления пользователями и ролями SAP HANA зависит от архитектуры вашей системы HANA. Если SAP HANA интегрирована с инструментами платформы BI и действует как база данных отчетов, то конечный пользователь и роль управляются на сервере приложений.

Если конечный пользователь напрямую подключается к базе данных SAP HANA, то для конечных пользователей и администраторов требуются пользователь и роль на уровне базы данных системы HANA.

Каждый пользователь, который хочет работать с базой данных HANA, должен иметь пользователя базы данных с необходимыми привилегиями. Пользователь, получающий доступ к системе HANA, может быть техническим пользователем или конечным пользователем в зависимости от требований доступа. После успешного входа в систему проверяется авторизация пользователя для выполнения требуемой операции. Выполнение этой операции зависит от привилегий, предоставленных пользователю. Эти привилегии могут быть предоставлены с использованием ролей в HANA Security. HANA Studio — это один из мощных инструментов для управления пользователями и ролями в системе баз данных HANA.

Типы пользователей

Типы пользователей различаются в зависимости от политик безопасности и разных привилегий, назначенных профилю пользователя. Тип пользователя может быть пользователем технической базы данных или конечным пользователем. Пользователю необходим доступ к системе HANA для сообщения о цели или для манипулирования данными.

Стандартные пользователи

Обычные пользователи — это пользователи, которые могут создавать объекты в своих собственных схемах и иметь доступ на чтение в информационных моделях системы. Доступ на чтение обеспечивается ролью PUBLIC, которая назначается каждому стандартному пользователю.

Стандартные пользователи

Ограниченные пользователи

Ограниченные пользователи — это те пользователи, которые обращаются к системе HANA с помощью некоторых приложений и не имеют привилегий SQL в системе HANA. Когда эти пользователи созданы, у них нет доступа изначально.

Если мы сравним ограниченных пользователей со стандартными пользователями —

  • Ограниченные пользователи не могут создавать объекты в базе данных HANA или в своих собственных схемах.

  • У них нет доступа для просмотра каких-либо данных в базе данных, поскольку они не имеют общей роли Public, добавленной в профиль, как обычные пользователи.

  • Они могут подключаться к базе данных HANA только через HTTP / HTTPS.

Ограниченные пользователи не могут создавать объекты в базе данных HANA или в своих собственных схемах.

У них нет доступа для просмотра каких-либо данных в базе данных, поскольку они не имеют общей роли Public, добавленной в профиль, как обычные пользователи.

Они могут подключаться к базе данных HANA только через HTTP / HTTPS.

Администрирование пользователей HANA и управление ролями

Пользователи технической базы данных используются только для административных целей, таких как создание новых объектов в базе данных, назначение прав другим пользователям, пакетам, приложениям и т. Д.

Администрирование пользователей SAP HANA

В зависимости от потребностей бизнеса и конфигурации системы HANA, существуют различные действия пользователя, которые могут быть выполнены с использованием инструментов администрирования пользователей, таких как HANA studio.

Наиболее распространенные виды деятельности включают в себя —

  • Создать пользователей
  • Предоставлять роли пользователям
  • Определите и создайте роли
  • Удалить пользователей
  • Сбросить пароли пользователей
  • Реактивировать пользователей после слишком многих неудачных попыток входа
  • Деактивировать пользователей, когда это необходимо

Создание пользователей в HANA Studio

Только пользователи базы данных с системной привилегией ROLE ADMIN могут создавать пользователей и роли в HANA Studio. Чтобы создать пользователей и роли в HANA Studio, перейдите на консоль администратора HANA. Вы увидите вкладку безопасности в системном представлении.

Создание пользователей в HANA Studio

Когда вы раскрываете вкладку «Безопасность», она предоставляет опцию «Пользователь и роли». Чтобы создать нового пользователя, щелкните правой кнопкой мыши на «Пользователь» и перейдите к «Новый пользователь». Откроется новое окно, в котором вы определяете параметры пользователя и пользователя.

Введите имя пользователя (мандат) и в поле Аутентификация введите пароль. Пароль применяется при сохранении пароля для нового пользователя. Вы также можете создать ограниченного пользователя.

Указанное имя роли не должно совпадать с именем существующего пользователя или роли. Правила пароля включают минимальную длину пароля и определение того, какие типы символов (нижний, верхний, цифровой, специальные символы) должны быть частью пароля.

пользователь

Можно настроить разные методы авторизации, такие как SAML, сертификаты X509, билет входа в систему SAP и т. Д. Пользователи в базе данных могут проходить проверку подлинности с помощью различных механизмов —

  • Механизм внутренней аутентификации с использованием пароля.

  • Внешние механизмы, такие как Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket или X.509.

  • Пользователь может быть аутентифицирован более чем одним механизмом одновременно. Однако только один пароль и одно основное имя для Kerberos могут быть действительными одновременно. Необходимо указать один механизм аутентификации, чтобы пользователь мог подключаться и работать с экземпляром базы данных.

Механизм внутренней аутентификации с использованием пароля.

Внешние механизмы, такие как Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket или X.509.

Пользователь может быть аутентифицирован более чем одним механизмом одновременно. Однако только один пароль и одно основное имя для Kerberos могут быть действительными одновременно. Необходимо указать один механизм аутентификации, чтобы пользователь мог подключаться и работать с экземпляром базы данных.

Это также дает возможность определить действительность пользователя. Вы можете указать интервал действия, выбрав даты. Спецификация допустимости является необязательным пользовательским параметром.

Некоторые пользователи по умолчанию поставляются с базой данных SAP HANA: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Как только это будет сделано, следующим будет определение привилегий для профиля пользователя.

Типы привилегий для профиля пользователя

Существуют различные типы привилегий, которые могут быть добавлены в профиль пользователя.

Предоставленная роль

Это используется для добавления встроенных ролей sap.hana в профиль пользователя или для добавления пользовательских ролей, созданных на вкладке Роли. Пользовательские роли позволяют вам определять роли в соответствии с требованием доступа, и вы можете добавлять эти роли непосредственно в профиль пользователя. Это устраняет необходимость запоминать и добавлять объекты в профиль пользователя каждый раз для разных типов доступа.

Тертая Роль

Общественная роль

Это общая роль, которая назначается всем пользователям базы данных по умолчанию. Эта роль содержит доступ только для чтения к системным представлениям и привилегии выполнения для некоторых процедур. Эти роли не могут быть отозваны.

Общественная роль

моделирование

Он содержит все привилегии, необходимые для использования средства моделирования информации в студии SAP HANA.

Системные привилегии

Существуют различные типы системных привилегий, которые можно добавить в профиль пользователя. Чтобы добавить системные привилегии в профиль пользователя, нажмите на знак (+).

Системные привилегии используются для резервного копирования / восстановления, администрирования пользователей, запуска и остановки экземпляра и т. Д.

Администратор контента

Он содержит те же привилегии, что и в роли МОДЕЛИРОВАНИЕ, но с добавлением, что этой роли разрешено предоставлять эти привилегии другим пользователям. Он также содержит привилегии хранилища для работы с импортированными объектами.

Администратор контента

Администратор данных

Это еще один тип привилегий, который требуется для добавления данных из объектов в профиль пользователя.

Администратор данных

Ниже приведены некоторые поддерживаемые системные привилегии.

ATTACH DEBUGGER — разрешает отладку вызова процедуры, вызванного другим пользователем. Кроме того, требуется привилегия DEBUG для соответствующей процедуры.

AUDIT ADMIN — Управляет выполнением следующих команд, связанных с аудитом: CREATE AUDIT POLICY, DROP AUDIT POLICY и ALTER AUDIT POLICY и изменениями конфигурации аудита. Также позволяет получить доступ к системному представлению AUDIT_LOG.

AUDIT OPERATOR — разрешает выполнение следующей команды: ALTER SYSTEM CLEAR AUDIT LOG. Также позволяет получить доступ к системному представлению AUDIT_LOG.

BACKUP ADMIN — авторизует команды BACKUP и RECOVERY для определения и запуска процедур резервного копирования и восстановления.

ОПЕРАТОР РЕЗЕРВНОГО КОПИРОВАНИЯ — уполномочивает команду РЕЗЕРВНОЕ КОПИРОВАНИЕ инициировать процесс резервного копирования.

КАТАЛОГ ЧТЕНИЯ — Предоставляет пользователям доступ без фильтрации только для чтения ко всем системным представлениям. Обычно содержимое этих представлений фильтруется на основании привилегий пользователя, осуществляющего доступ.

CREATE SCHEMA — разрешает создание схем базы данных с помощью команды CREATE SCHEMA. По умолчанию каждому пользователю принадлежит одна схема. С этой привилегией пользователю разрешено создавать дополнительные схемы.

СОЗДАТЬ СТРУКТУРИРОВАННУЮ ПРИВИЛЕГИЮ — Разрешает создание структурированных привилегий (аналитических привилегий). Только владелец аналитической привилегии может предоставлять или отзывать эту привилегию другим пользователям или ролям.

CREDENTIAL ADMIN — авторизует команды доступа: CREATE / ALTER / DROP CREDENTIAL.

DATA ADMIN — разрешает чтение всех данных в системных представлениях. Он также позволяет выполнять любые команды языка определения данных (DDL) в базе данных SAP HANA. Пользователь, обладающий этой привилегией, не может выбирать или изменять таблицы с хранимыми данными, для которых у него нет прав доступа, но он может удалить таблицы или изменить определения таблиц.

ADMIN DATABASE — авторизует все команды, связанные с базами данных в нескольких базах данных, такие как CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.

EXPORT — Разрешает экспортные операции в базе данных с помощью команды EXPORT TABLE. Обратите внимание, что помимо этой привилегии пользователю требуется экспортировать привилегию SELECT для исходных таблиц.

ИМПОРТ — Авторизует операции импорта в базе данных с помощью команд ИМПОРТ. Обратите внимание, что помимо этой привилегии пользователю требуется импортировать привилегию INSERT для таблиц назначения.

INIFILE ADMINразрешает изменение системных настроек.

LICENSE ADMIN — разрешает команде SET SYSTEM LICENSE установить новую лицензию.

LOG ADMIN — авторизует команды ALTER SYSTEM LOGGING [ON | OFF] для включения или отключения механизма очистки журнала.

MONITOR ADMIN — авторизует команды ALTER SYSTEM для СОБЫТИЙ.

OPTIMIZER ADMIN — авторизует команды ALTER SYSTEM, относящиеся к командам SQL PLAN CACHE и ALTER SYSTEM UPDATE STATISTICS, которые влияют на поведение оптимизатора запросов.

RESOURCE ADMIN — авторизует команды, относящиеся к системным ресурсам. Например, «ALTER SYSTEM RECLAIM DATAVOLUME» и «ALTER SYSTEM RESET RESIT MONITORING VIEW». Он также авторизует многие команды, доступные в консоли управления.

ROLE ADMIN — разрешает создание и удаление ролей с помощью команд CREATE ROLE и DROP ROLE. Он также разрешает предоставление и отзыв ролей с помощью команд GRANT и REVOKE.

Активированные роли, то есть роли, создателем которых является предопределенный пользователь _SYS_REPO, не могут быть предоставлены другим ролям или пользователям и не удалены напрямую. Пользователи, имеющие права ROLE ADMIN, также не могут этого сделать. Пожалуйста, проверьте документацию относительно активированных объектов.

SAVEPOINT ADMIN — разрешает выполнение процесса сохранения с помощью команды ALTER SYSTEM SAVEPOINT.

Компоненты базы данных SAP HANA могут создавать новые системные привилегии. Эти привилегии используют имя-компонента в качестве первого идентификатора системной привилегии и имя-компонента-привилегии в качестве второго идентификатора.

Привилегии объекта / SQL

Привилегии объекта также известны как привилегии SQL. Эти привилегии используются для предоставления доступа к объектам, таким как Выбор, Вставка, Обновление и Удаление таблиц, Представления или Схемы.

Привилегии объекта

Ниже приведены типы привилегий объекта.

  • Привилегия объекта для объектов базы данных, которые существуют только во время выполнения.

  • Привилегия объекта для активированных объектов, созданных в хранилище, таких как представления расчета.

  • Привилегия объекта для схемы, содержащей активированные объекты, созданные в хранилище.

  • Привилегии объекта / SQL — это совокупность всех привилегий DDL и DML для объектов базы данных.

Привилегия объекта для объектов базы данных, которые существуют только во время выполнения.

Привилегия объекта для активированных объектов, созданных в хранилище, таких как представления расчета.

Привилегия объекта для схемы, содержащей активированные объекты, созданные в хранилище.

Привилегии объекта / SQL — это совокупность всех привилегий DDL и DML для объектов базы данных.

Ниже приведены некоторые широко поддерживаемые права доступа к объектам.

В базе данных HANA имеется несколько объектов базы данных, поэтому не все привилегии применимы ко всем видам объектов базы данных.

Объекты базы данных

Объектные привилегии и их применимость к объектам базы данных.

применимость

Аналитические привилегии в профиле пользователя

Иногда требуется, чтобы данные в том же представлении не были доступны другим пользователям, у которых нет соответствующих требований к этим данным.

Аналитические привилегии используются для ограничения доступа к информационным представлениям HANA на уровне объекта. Мы можем применить безопасность на уровне строк и столбцов в Аналитических привилегиях.

Аналитические привилегии используются для —

  • Выделение безопасности на уровне строк и столбцов для определенного диапазона значений
  • Выделение безопасности на уровне строк и столбцов для представлений моделирования

Аналитические привилегии

Пакетные привилегии

В репозитории SAP HANA вы можете установить полномочия пакета для конкретного пользователя или для роли. Пакетные привилегии используются для предоставления доступа к моделям данных — аналитическим представлениям или представлениям расчета или объектам репозитория. Все привилегии, которые назначены пакету репозитория, назначены также всем подпакетам. Вы также можете указать, могут ли назначенные полномочия пользователя передаваться другим пользователям.

Действия по добавлению привилегий пакета в профиль пользователя —

  • Шаг 1 — Щелкните вкладку привилегий пакета в HANA studio в разделе Создание пользователя → Выберите (+) знак, чтобы добавить один или несколько пакетов. Используйте клавишу Ctrl, чтобы выбрать несколько пакетов.

  • Шаг 2. В диалоговом окне «Выбрать пакет репозитория» используйте имя пакета полностью или частично, чтобы найти пакет репозитория, доступ к которому вы хотите разрешить.

  • Шаг 3 — Выберите один или несколько пакетов репозитория, к которым вы хотите авторизовать доступ, выбранные пакеты появятся на вкладке Права доступа к пакетам.

Шаг 1 — Щелкните вкладку привилегий пакета в HANA studio в разделе Создание пользователя → Выберите (+) знак, чтобы добавить один или несколько пакетов. Используйте клавишу Ctrl, чтобы выбрать несколько пакетов.

Шаг 2. В диалоговом окне «Выбрать пакет репозитория» используйте имя пакета полностью или частично, чтобы найти пакет репозитория, доступ к которому вы хотите разрешить.

Шаг 3 — Выберите один или несколько пакетов репозитория, к которым вы хотите авторизовать доступ, выбранные пакеты появятся на вкладке Права доступа к пакетам.

Вкладка «Пакетные привилегии»

Следующие привилегии предоставления используются в пакетах репозитория для авторизации пользователя для изменения объектов —

  • REPO.READ — доступ для чтения к выбранному пакету и объектам времени разработки (как собственным, так и импортированным)

  • REPO.EDIT_NATIVE_OBJECTS — авторизация для изменения объектов в пакетах

  • Предоставляется другим

REPO.READ — доступ для чтения к выбранному пакету и объектам времени разработки (как собственным, так и импортированным)

REPO.EDIT_NATIVE_OBJECTS — авторизация для изменения объектов в пакетах

Предоставляется другим

Если вы выберете «Да» для этого, это позволит назначенной авторизации пользователя передаваться другим пользователям.

Привилегии приложений

Привилегии приложения в профиле пользователя, используемые для определения авторизации для доступа к приложению HANA XS. Это может быть назначено отдельному пользователю или группе пользователей. Привилегии приложения также можно использовать для обеспечения различного уровня доступа к одному и тому же приложению, например, для предоставления расширенных функций администраторам баз данных и доступа только для чтения для обычных пользователей.

Привилегии приложений

Чтобы определить специфичные для Приложения привилегии в профиле пользователя или добавить группу пользователей, следует использовать следующие привилегии:

61
Share: