Übersicht über die Sicherheit in SAP HANA

Einführung

Bisheriges Prinzip:

Neu mit SAP HANA:

HANA ist eine In-Memory-Datenbank welche gewisse Daten beim Start in den Memory laden kann. Ausserdem kann HANA die Daten komprimieren was die Datenmenge verringert. Daten in SAP HANA können folgende Stati haben:

  • Hot-Store
  • Warm-Store
  • Cold-Store

SAP HANA ist Tenant (Mandanten) fähig:

Benutzerverwaltung im HANA

Es gibt zwei unterschiedliche Typen von Benutzern im SAP HANA:

  • Restricted User (Kann sich NICHT per SQL an der Datenbank anmelden)
  • Unrestricted User (Kann sich nur via XD (Web) Server anmelden

Berechtigungen werden mit Privilegien vergeben welche in Rollen zusammengefasst werden. Rollen und Privilegien können Benutzern zugeordnet werden. Es empfielt sich jedoch zur Übersicht nur via Rollen zuzuordnen.

Rollen lassen sich in zwei unterschiedliche Typen von Rollen unterscheiden:

  • Catalog Rollen haben keine Versionen, sind nicht transportierbar und sind immer mit dem eigenen Benutzer verknüft
  • Repository Rollen sind versioniert, können transportiert werden und gehören einem System-Benutzer

SAP via HANA Sudio (Eclipse)

Jeder Unrestricted User hat im HANA ein eigenes Schema in welchem eigene Daten und Tabellen ablegen kann.

Für die Sicherheit ist folgender Menu-Punkt in der System-Ansicht wichtig:

Unter dem Punkt Users kann man Unrestricted User:

Und Restricted User über einen Dialog anlegen:

Unter dem Tab Security sind folgende Optionen zu finden:

SAP HANA Database Administration

Man kann auch aus dem HANA Sudio in die HANA Web Oberfläche abspringen:

Dort findet man die Kachel:

Hier kann man wie im Backend Catalog Rollen anlegen und Benutzer verwalten:

Von hier aus kann man auch mit dem Editor Repository Rollen erstellen:

Wichtige Privilegien für Security Admins

  • USER_ADMIN
  • CATALOG_READ
  • TRACE_ADMIN
  • AUDIT_ADMIN

Rollenbau in Web Editor

Einleitung

In einer Rolle können fünf Arten von Berechtigungen verbaut werden:

  • Granted Roles Kollen können Verschachtelt werden
  • System Privileges Sind Berechtigungen für von SAP definierten Paketen an Berechtigungen (z.B: AUDIT_ADMIN, CATALOG_READ)
  • Object Privileges Sind der Zugriff auf einzelne Objekte in SAP HANA (Funktionen, EPM Modele, EPM Query Quellen, Prozeduren, Schemas, Sequenzen, Tabellen, Tabellen-Typen, Ansichten, Agenten und Entfernte Quellen
  • Analytic Privileges
  • Package Privileges
  • Application Privileges

SQL Trace

SQL Trace

Wenn Berechtigungsfehler auftreten und der Benutzer keine Fehermeldung erhält, so kann über einen Doppelklick auf das System in der HANA Workbench im Reiter Trace Configuraton ein SQL Trace der Berechtigungsfehler eines Benutzers aktiviert werden:

Audit Log

Mit dem Audit-Log können nach folgenden Kriterien Aufzeichnungen gemacht werden wer/was/wann auf dem System macht:

  • Aktion auf dem System
  • Benutzer welche die Aktion ausführen
  • Betroffenes Objekt

Aktivierung des Audit-Logs:

Mögliche Aktionen die Auditiert werden können:

Anzeige der Einträge aus dem Audit-Log:
SELECT * FROM "PUBLIC"."AUDIT_LOG"

Schreibe einen Kommentar