Учебники

Администрирование пользователей и управление ролями

Пользователи технической базы данных используются только для административных целей, таких как создание новых объектов в базе данных, назначение прав другим пользователям, пакетам, приложениям и т. Д.

Администрирование пользователей SAP HANA

В зависимости от потребностей бизнеса и конфигурации системы HANA, существуют различные действия пользователя, которые могут быть выполнены с использованием инструмента администрирования пользователя, такого как HANA studio.

Наиболее распространенные виды деятельности включают в себя —

  • Создать пользователей
  • Предоставлять роли пользователям
  • Определить и создать роли
  • Удаление пользователей
  • Сброс паролей пользователей
  • Реактивация пользователей после слишком многих неудачных попыток входа
  • Деактивация пользователей, когда это требуется

Как создать пользователей в HANA Studio?

Только пользователи базы данных с системной привилегией ROLE ADMIN могут создавать пользователей и роли в HANA studio. Чтобы создать пользователей и роли в HANA studio, перейдите на консоль администратора HANA. Вы увидите вкладку безопасности в системном представлении —

Создать пользователей

Когда вы открываете вкладку «Безопасность», она предоставляет опцию «Пользователь и роли». Чтобы создать нового пользователя, щелкните правой кнопкой мыши на «Пользователь» и перейдите к «Новый пользователь». Откроется новое окно, в котором вы определяете параметры пользователя и пользователя.

Введите Имя пользователя (мандат) и в поле Аутентификация введите пароль. Пароль применяется при сохранении пароля для нового пользователя. Вы также можете создать ограниченного пользователя.

Указанное имя роли не должно совпадать с именем существующего пользователя или роли. Правила пароля включают минимальную длину пароля и определение того, какие типы символов (нижний, верхний, цифровой, специальные символы) должны быть частью пароля.

Новый пользователь

Можно настроить различные методы авторизации, такие как SAML, сертификаты X509, билет SAP Logon и т. Д. Пользователи в базе данных могут проходить проверку подлинности с помощью различных механизмов —

Механизм внутренней аутентификации с использованием пароля.

Внешние механизмы, такие как Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket или X.509.

Пользователь может быть аутентифицирован более чем одним механизмом одновременно. Однако только один пароль и одно основное имя для Kerberos могут быть действительными одновременно. Необходимо указать один механизм аутентификации, чтобы пользователь мог подключаться и работать с экземпляром базы данных.

Он также дает возможность определить срок действия пользователя, вы можете указать интервал действия, выбрав даты. Спецификация допустимости является необязательным пользовательским параметром.

Некоторые пользователи, которые по умолчанию поставляются с базой данных SAP HANA, — SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Как только это будет сделано, следующим шагом будет определение привилегий для профиля пользователя. Существуют различные типы привилегий, которые можно добавить в профиль пользователя.

Предоставленные роли пользователю

Это используется для добавления встроенных ролей SAP.HANA в профиль пользователя или для добавления пользовательских ролей, созданных на вкладке Роли. Пользовательские роли позволяют вам определять роли в соответствии с требованием доступа, и вы можете добавлять эти роли непосредственно в профиль пользователя. Это устраняет необходимость запоминать и добавлять объекты в профиль пользователя каждый раз для разных типов доступа.

Предоставленные роли пользователям

PUBLIC — это общая роль, которая назначается всем пользователям базы данных по умолчанию. Эта роль содержит доступ только для чтения к системным представлениям и привилегии выполнения для некоторых процедур. Эти роли не могут быть отозваны.

общественного

моделирование

Он содержит все привилегии, необходимые для использования средства моделирования информации в студии SAP HANA.

Системные привилегии

Существуют различные типы системных привилегий, которые можно добавить в профиль пользователя. Чтобы добавить системные привилегии в профиль пользователя, нажмите + знак.

Системные привилегии используются для резервного копирования / восстановления, администрирования пользователей, запуска и остановки экземпляра и т. Д.

Администратор контента

Он содержит те же привилегии, что и в роли МОДЕЛИРОВАНИЕ, но с добавлением, что этой роли разрешено предоставлять эти привилегии другим пользователям. Он также содержит привилегии хранилища для работы с импортированными объектами.

Администратор контента

Администратор данных

Это тип привилегии, необходимый для добавления данных из объектов в профиль пользователя.

Администратор данных

Ниже приведены общие поддерживаемые системные привилегии —

Прикрепить отладчик

Он разрешает отладку вызова процедуры, вызванного другим пользователем. Кроме того, требуется привилегия DEBUG для соответствующей процедуры.

Аудит Админ

Управляет выполнением следующих связанных с аудитом команд — СОЗДАТЬ ПОЛИТИКУ АУДИТА, ПОЛИТИКУ УДАЛЕНИЯ АУДИТА и АЛТЕРНУЮ ПОЛИТИКУ АУДИТА и изменения конфигурации аудита. Также позволяет получить доступ к системному представлению AUDIT_LOG.

Аудитор Оператор

Он разрешает выполнение следующей команды — ALTER SYSTEM CLEAR AUDIT LOG. Также позволяет получить доступ к системному представлению AUDIT_LOG.

Администратор резервного копирования

Он авторизует команды BACKUP и RECOVERY для определения и запуска процедур резервного копирования и восстановления.

Оператор резервного копирования

Он разрешает команде BACKUP инициировать процесс резервного копирования.

Каталог Читать

Он разрешает пользователям иметь нефильтрованный доступ только для чтения ко всем системным представлениям. Обычно содержимое этих представлений фильтруется на основании привилегий пользователя, осуществляющего доступ.

Создать схему

Он разрешает создание схем базы данных с помощью команды CREATE SCHEMA. По умолчанию каждый пользователь владеет одной схемой, с этой привилегией ему разрешено создавать дополнительные схемы.

СОЗДАТЬ СТРУКТУРНУЮ ПРИВИЛЕГИЮ

Он разрешает создание структурированных привилегий (аналитических привилегий). Только владелец аналитической привилегии может предоставлять или отзывать эту привилегию другим пользователям или ролям.

Администратор учетных данных

Он разрешает команды учетных данных — CREATE / ALTER / DROP CREDENTIAL.

Администратор данных

Он разрешает чтение всех данных в системных представлениях. Он также позволяет выполнять любые команды языка определения данных (DDL) в базе данных SAP HANA.

Пользователь, обладающий этой привилегией, не может выбирать или изменять таблицы с хранимыми данными, для которых у него нет прав доступа, но он может удалить таблицы или изменить определения таблиц.

Администратор базы данных

Он разрешает все команды, связанные с базами данных в нескольких базах данных, таких как CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.

экспорт

Он разрешает операции экспорта в базу данных с помощью команды EXPORT TABLE.

Обратите внимание, что помимо этой привилегии пользователю требуется экспортировать привилегию SELECT для исходных таблиц.

Импортировать

Он авторизует операции импорта в базе данных с помощью команд IMPORT.

Обратите внимание, что помимо этой привилегии пользователю требуется импортировать привилегию INSERT для таблиц назначения.

Inifile Admin

Это разрешает изменение настроек системы.

Лицензионный администратор

Он разрешает команде SET SYSTEM LICENSE установить новую лицензию.

Администратор журнала

Он разрешает командам ALTER SYSTEM LOGGING [ON | OFF] включать или отключать механизм очистки журнала.

Администратор монитора

Он авторизует команды ALTER SYSTEM для СОБЫТИЙ.

Администратор оптимизатора

Он авторизует команды ALTER SYSTEM, касающиеся команд SQL PLAN CACHE и ALTER SYSTEM UPDATE STATISTICS, которые влияют на поведение оптимизатора запросов.

Resource Admin

Эта привилегия авторизует команды, касающиеся системных ресурсов. Например, «ALTER SYSTEM RECLAIM DATAVOLUME» и «ALTER SYSTEM RESET RESIT MONITORING VIEW». Он также авторизует многие команды, доступные в консоли управления.

Роль Админ

Эта привилегия разрешает создание и удаление ролей с помощью команд CREATE ROLE и DROP ROLE. Он также разрешает предоставление и отзыв ролей с помощью команд GRANT и REVOKE.

Активированные роли, то есть роли, создателем которых является предопределенный пользователь _SYS_REPO, не могут быть предоставлены другим ролям или пользователям и не удалены напрямую. Даже пользователи с правами ROLE ADMIN не могут этого сделать. Пожалуйста, проверьте документацию относительно активированных объектов.

Администратор точки сохранения

Он разрешает выполнение процесса сохранения с помощью команды ALTER SYSTEM SAVEPOINT.

Компоненты базы данных SAP HANA могут создавать новые системные привилегии. Эти привилегии используют имя компонента в качестве первого идентификатора системной привилегии и имя компонента в качестве второго идентификатора.

Привилегии объекта / SQL

Привилегии объекта также известны как привилегии SQL. Эти привилегии используются для предоставления доступа к объектам, таким как Выбор, Вставка, Обновление и Удаление таблиц, Представления или Схемы.

Привилегии SQL объекта

Ниже приведены возможные типы привилегий объекта —

  • Привилегия объекта для объектов базы данных, которые существуют только во время выполнения

  • Привилегия объекта для активированных объектов, созданных в хранилище, например, представления для расчета

  • Объектная привилегия в схеме, содержащей активированные объекты, созданные в хранилище,

  • Привилегии объекта / SQL — это совокупность всех привилегий DDL и DML для объектов базы данных.

Привилегия объекта для объектов базы данных, которые существуют только во время выполнения

Привилегия объекта для активированных объектов, созданных в хранилище, например, представления для расчета

Объектная привилегия в схеме, содержащей активированные объекты, созданные в хранилище,

Привилегии объекта / SQL — это совокупность всех привилегий DDL и DML для объектов базы данных.

Ниже приведены общие поддерживаемые права доступа к объектам.

В базе данных HANA имеется несколько объектов базы данных, поэтому не все привилегии применимы ко всем видам объектов базы данных.

Несколько объектов данных

Объектные привилегии и их применимость к объектам базы данных —

Привилегии объектов и их применимость

Аналитические привилегии

Иногда требуется, чтобы данные в том же представлении не были доступны для других пользователей, у которых нет соответствующих требований к этим данным.

Аналитические привилегии используются для ограничения доступа к информационным представлениям HANA на уровне объекта. Мы можем применить безопасность на уровне строк и столбцов в Аналитических привилегиях.

Аналитические привилегии используются для —

  • Выделение безопасности на уровне строк и столбцов для определенного диапазона значений.
  • Выделение безопасности на уровне строк и столбцов для модельных представлений.

Аналитические привилегии

Пакетные привилегии

В репозитории SAP HANA вы можете установить полномочия пакета для конкретного пользователя или для роли. Пакетные привилегии используются для предоставления доступа к моделям данных — аналитическим представлениям или представлениям расчета или к объектам репозитория. Все привилегии, которые назначены пакету репозитория, назначены также всем подпакетам. Вы также можете указать, могут ли назначенные полномочия пользователя передаваться другим пользователям.

Действия по добавлению пакета привилегий в профиль пользователя —

  • Нажмите на вкладку «Права доступа к пакетам» в студии HANA в разделе «Создание пользователя» → «Выбрать +», чтобы добавить один или несколько пакетов. Используйте клавишу Ctrl, чтобы выбрать несколько пакетов.

  • В диалоговом окне «Выбрать пакет репозитория» используйте имя пакета полностью или частично, чтобы найти пакет репозитория, доступ к которому вы хотите разрешить.

  • Выберите один или несколько пакетов репозитория, к которым вы хотите авторизовать доступ, выбранные пакеты появятся на вкладке «Права доступа к пакетам».

Нажмите на вкладку «Права доступа к пакетам» в студии HANA в разделе «Создание пользователя» → «Выбрать +», чтобы добавить один или несколько пакетов. Используйте клавишу Ctrl, чтобы выбрать несколько пакетов.

В диалоговом окне «Выбрать пакет репозитория» используйте имя пакета полностью или частично, чтобы найти пакет репозитория, доступ к которому вы хотите разрешить.

Выберите один или несколько пакетов репозитория, к которым вы хотите авторизовать доступ, выбранные пакеты появятся на вкладке «Права доступа к пакетам».

Пакетные привилегии

Ниже приведены привилегии предоставления, которые используются в пакетах репозитория для авторизации пользователя на изменение объектов.

  • REPO.READ — доступ для чтения к выбранному пакету и объектам времени разработки (как собственным, так и импортированным)

  • REPO.EDIT_NATIVE_OBJECTS — авторизация для изменения объектов в пакетах.

  • Предоставляется другим — если вы выберете «Да» для этого, это позволит назначенному пользователю передавать полномочия другим пользователям.

REPO.READ — доступ для чтения к выбранному пакету и объектам времени разработки (как собственным, так и импортированным)

REPO.EDIT_NATIVE_OBJECTS — авторизация для изменения объектов в пакетах.

Предоставляется другим — если вы выберете «Да» для этого, это позволит назначенному пользователю передавать полномочия другим пользователям.

Привилегии приложений

Привилегии приложения в профиле пользователя используются для определения авторизации доступа к приложению HANA XS. Это может быть назначено отдельному пользователю или группе пользователей. Привилегии приложения также можно использовать для обеспечения различного уровня доступа к одному и тому же приложению, например, для предоставления расширенных функций администраторам базы данных и доступа только для чтения для обычных пользователей.

Привилегии приложений

Чтобы определить специфичные для Приложения привилегии в профиле пользователя или добавить группу пользователей, следует использовать следующие привилегии: