¿Qué es Sap Hana Security?
SAP HANA Security protege los datos importantes del acceso no autorizado y garantiza que los estándares y el cumplimiento cumplan con el estándar de seguridad adoptado por la empresa.
SAP HANA proporciona una instalación, es decir, una base de datos multiusuario, en la que se pueden crear varias bases de datos en un único sistema SAP HANA. Se lo conoce como contenedor de base de datos multiusuario. Por lo tanto, SAP HANA proporciona todas las funciones relacionadas con la seguridad para todos los contenedores de bases de datos de múltiples inquilinos.
SAP HANA proporciona la siguiente función relacionada con la seguridad:
- Gestión de usuarios y roles
- Autorización
- Autenticación
- Cifrado de datos en la capa de persistencia
- Cifrado de datos en la capa de red
Usuario y rol de SAP HANA
La configuración de la gestión de roles y usuarios de SAP HANA depende de la arquitectura como se indica a continuación:
- Arquitectura de 3 niveles.
SAP HANA se puede utilizar como una base de datos relacional en una arquitectura de 3 niveles.
En esta arquitectura, las funciones de seguridad (autorización, autenticación, cifrado y auditoría) se instalan en las capas del servidor de aplicaciones.
La aplicación SAP (ERP, BW, etc.) se conecta a la base de datos solo con la ayuda de un usuario técnico o administrador de la base de datos (Persona de base). El usuario final no puede acceder directamente a la base de datos o al servidor de la base de datos.
- Arquitectura de 2 niveles.
SAP HANA Extended Application Services (SAP HANA XS) se basa en una arquitectura de 2 niveles, en la que el servidor de aplicaciones, el servidor web y el entorno de desarrollo están integrados en un solo sistema.
Autenticación SAP HANA
El usuario de la base de datos identifica quién accede a la base de datos de SAP HANA. Se verifica mediante un proceso denominado "Autenticación". SAP HANA admite muchos métodos de autenticación. El inicio de sesión único (SSO) se utiliza para integrar varios métodos de autenticación.
SAP HANA admite el siguiente método de autenticación:
- Kerberos: se puede utilizar en el siguiente caso:
- Directamente desde JDBC y ODBC Client (SAP HANA Studio).
- Cuando se usa HTTP para acceder a SAP HANA XS.
- Usuario Contraseña
Cuando el usuario ingresa su nombre de usuario y contraseña de la base de datos, la base de datos SAP HANA autentica al usuario.
- Lenguaje de marcado de aserción de seguridad (SAML)
SAML se puede utilizar para autenticar al usuario de SAP HANA, que accede a la base de datos de SAP HANA directamente a través de ODBC / JDBC. Es un proceso de mapeo de la identidad del usuario externo al usuario de la base de datos interna, por lo que el usuario puede iniciar sesión en la base de datos sap con la identificación del usuario externo.
- Tickets de inicio de sesión y aserción de SAP
El usuario puede ser autenticado por Logon o Assertion Tickets, que se configura y se envía al usuario para crear un ticket.
- Certificados de clientes X.509
Cuando SAP HANA XS Access by HTTP, los certificados de cliente firmados por una autoridad de certificación (CA) de confianza se pueden utilizar para autenticar al usuario.
Autorización de SAP HANA
La autorización de SAP HANA es necesaria cuando un usuario que utiliza la interfaz de cliente (JDBC, ODBC o HTTP) para acceder a la base de datos de SAP HANA.
Dependiendo de la autorización proporcionada al usuario, puede realizar operaciones de base de datos en el objeto de base de datos. Esta autorización se llama "privilegios".
Los privilegios se pueden otorgar al usuario directa o indirectamente (a través de roles). Todos los privilegios asignados a los usuarios se combinan como una sola unidad.
Cuando un usuario intenta acceder a cualquier objeto de la base de datos de SAP HANA, el sistema HANA realiza una verificación de autorización del usuario a través de roles de usuario y otorga directamente los privilegios.
Cuando se encuentran los privilegios solicitados, el sistema HANA omite más verificaciones y concede acceso a los objetos de la base de datos de solicitudes.
En SAP HANA, los siguientes privilegios son:
| Tipos de privilegios | Descripción |
| Privilegios del sistema | Controla la actividad normal del sistema. Los privilegios del sistema se utilizan principalmente para:
|
| Privilegios de objeto | Los privilegios de objeto son privilegios de SQL que se utilizan para dar autorización para leer y modificar objetos de la base de datos. Para acceder a los objetos de la base de datos, el usuario necesita privilegios de objeto en los objetos de la base de datos o en el esquema en el que existe el objeto de la base de datos. Los privilegios de objeto se pueden otorgar a los objetos de catálogo (tabla, vista, etc.) o a los objetos que no están en el catálogo (objetos de desarrollo). Los privilegios de objeto son los siguientes:
|
| Privilegios analíticos | Los privilegios analíticos se utilizan para permitir el acceso de lectura a los datos del modelo de información de SAP HANA (vista de atributos, vista analítica, vista de cálculo).
|
| Privilegios del paquete | Los privilegios de paquete se utilizan para proporcionar autorización para acciones en paquetes individuales en el repositorio de SAP HANA. |
| Privilegios de aplicación | Se requieren privilegios de aplicación en In SAP HANA Extended Application Services (SAP HANA XS) para la aplicación de acceso. Los privilegios de aplicación se otorgan y revocan mediante los procedimientosGRANT_APPLICATION_PRIVILEGE y REVOKE_APPLICATION_PRIVILEGE en el esquema _SYS_REPO. |
| Privilegios del usuario | Es un privilegio SQL, que puede otorgar el usuario al propio usuario. ATTACH DEBUGGER es el único privilegio que se puede otorgar a un usuario. |
Administración de usuarios y gestión de roles de SAP HANA
Para acceder a la base de datos de SAP HANA, se requieren usuarios. Dependiendo de las diferentes políticas de seguridad, hay dos tipos de usuarios en SAP HANA como se muestra a continuación:
- Usuario técnica (DBA usuario) - Se es un usuario que directamente el trabajo con la base de datos de SAP HANA con privilegios necesarios. Normalmente, estos usuarios no se eliminan de la base de datos.
Estos usuarios se crean para una tarea administrativa como crear un objeto y otorgar privilegios sobre el objeto de la base de datos o sobre la aplicación.
El sistema de base de datos SAP HANA proporciona el siguiente usuario de forma predeterminada como usuario estándar:
- SISTEMA
- SYS
- _SYS_REPO
- Base de datos o usuario real: cada usuario que quiera trabajar en la base de datos de SAP HANA, necesita un usuario de base de datos. El usuario de la base de datos es una persona real que trabaja en SAP HANA.
Hay dos tipos de usuarios de bases de datos como se muestra a continuación:
| Tipo de usuario | Descripción | Rol asignado |
| Usuario estándar | Este usuario puede crear objetos en un esquema propio y leer datos en vistas del sistema. Usuario estándar creado con la declaración "CREAR USUARIO". | El rol PÚBLICO se asigna para las vistas del sistema de lectura. |
| Usuario restringido | El usuario restringido no tiene acceso SQL completo a través de una consola SQL y se crea con la declaración "CREAR USUARIO RESTRINGIDO". Si se requieren privilegios para el uso de cualquier aplicación, se proporcionan a través del rol.
| Se requiere el rol RESTRICTED_USER_ODBC_ACCESS o RESTRICTED_USER_JDBC_ACCESS al usuario para el acceso completo a la funcionalidad ODBC / JDBC |
El administrador de usuarios de SAP HANA tiene acceso a la siguiente actividad:
- Crear / eliminar usuario.
- Definir y crear rol.
- Otorgar rol al usuario.
- Restablecimiento de la contraseña de usuario.
- Vuelva a activar / desactivar al usuario según los requisitos.
- Crear usuario en SAP HANA: el usuario de base de datos solo con ROLE ADMIN puede crear un usuario y un rol en SAP HANA.
Paso 1) Para crear un nuevo usuario en SAP HANA Studio, vaya a la pestaña de seguridad como se muestra a continuación y siga los siguientes pasos;
- Vaya al nodo de seguridad.
- Seleccione Usuarios (clic derecho) -> Nuevo usuario.
Paso 2) Aparece una pantalla de creación de usuario.
- Introduzca su nombre de usuario.
- Ingrese la contraseña para el usuario.
- Estos son mecanismos de autenticación, de forma predeterminada, el nombre de usuario / contraseña se utiliza para la autenticación.
Al hacer clic en el 
botón de implementación , se creará el usuario.
2. Definir y crear rol
Un rol es una colección de privilegios que se pueden otorgar a otros usuarios o roles. El rol incluye privilegios para el objeto y la aplicación de la base de datos y según la naturaleza del trabajo.
Es un mecanismo estándar para otorgar privilegios. Los privilegios se pueden otorgar directamente al usuario. Hay muchos roles estándar (por ejemplo, MODELADO, MONITOREO, etc.) disponibles en la base de datos de SAP HANA.
Podemos usar el rol estándar como plantilla para crear un rol personalizado.
Un rol puede contener los siguientes privilegios:
- Privilegios del sistema para tareas administrativas y de desarrollo (LECTURA DE CATÁLOGO, ADMINISTRACIÓN DE AUDITORÍA, etc.)
- Privilegios de objeto para objetos de base de datos (SELECT, INSERT, DELETE, etc.)
- Privilegios analíticos para la vista de información de SAP HANA
- Privilegios de paquete en paquetes de repositorio (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
- Privilegios de aplicación para aplicaciones SAP HANA XS.
- Privilegios del usuario (para depuración del procedimiento).
Creación de roles
Paso 1) En este paso,
- Vaya al nodo Seguridad en el sistema SAP HANA.
- Seleccione Role Node (clic derecho) y seleccione New Role.
Paso 2) Se muestra una pantalla de creación de roles.
- Asigne el nombre del rol en Nuevo bloque de roles.
- Seleccione la pestaña Función concedida y haga clic en el icono "+" para agregar la función estándar o la función existente.
- Seleccione la función deseada (por ejemplo, MODELADO, SEGUIMIENTO, etc.)
PASO 3) En este paso,
- El rol seleccionado se agrega en la pestaña Roles otorgados.
- Los privilegios se pueden asignar al usuario directamente seleccionando privilegios del sistema, privilegios de objeto, privilegios analíticos, privilegios de paquete, etc.
- Haga clic en el icono de implementación para crear un rol.
Marque la opción "Se puede otorgar a otros usuarios y roles", si desea asignar este rol a otro usuario y rol.
3. Otorgar rol al usuario
PASO 1) En este paso, asignaremos el rol "MODELLING_VIEW" a otro usuario "ABHI_TEST".
- Vaya al subnodo Usuario en el nodo Seguridad y haga doble clic en él. Se mostrará la ventana de usuario.
- Haga clic en el icono "+" Funciones concedidas.
- Aparecerá una ventana emergente, el nombre del rol de búsqueda que se asignará al usuario.
PASO 2) En este paso, el rol "MODELLING_VIEW" se agregará bajo Rol.
PASO 3) En este paso,
- Haga clic en el botón Implementar.
- Se muestra un mensaje "Usuario 'ABHI_TEST" cambiado.
4. Restablecimiento de la contraseña de usuario
Si es necesario restablecer la contraseña del usuario, vaya al subnodo Usuario en el nodo Seguridad y haga doble clic en él. Se mostrará la ventana de usuario.
PASO 1) En este paso,
- Introduzca nueva contraseña.
- Ingrese Confirmar contraseña.
PASO 2) En este paso,
- Haga clic en el botón Implementar.
- Se muestra un mensaje "Usuario 'ABHI_TEST" cambiado.
5. Reactivar / Desactivar usuario
Vaya al subnodo Usuario en el nodo Seguridad y haga doble clic en él. Se mostrará la ventana de usuario.
Hay un icono Desactivar usuario. Haz click en eso
Aparecerá un mensaje de confirmación "Popup". Haga clic en el botón "Sí".
Se mostrará un mensaje "Usuario 'ABHI_TEST' desactivado". El icono Desactivar cambia con el nombre "Activar usuario". Ahora podemos activar usuario desde el mismo icono.
Gestión de licencias de SAP HANA
La clave de licencia es necesaria para utilizar la base de datos SAP HANA. Se puede instalar y eliminar una clave de licencia mediante SAP HANA Studio, la herramienta de línea de comandos SAP HANA HDBSQL y el editor de consultas SQL de HANA.
La base de datos de SAP HANA admite dos tipos de clave de licencia:
- Clave de licencia permanente : las claves de licencia permanentes son válidas hasta la fecha de vencimiento. Necesitamos solicitar y aplicar la clave de licencia antes de que caduque. Si la clave de licencia caduca, la clave de licencia temporal se instala automáticamente durante 28 días.
- Clave de licencia temporal: se instala automáticamente con una nueva instalación de base de datos de SAP HANA. Tiene una validez de 90 días y posteriormente se puede solicitar la clave permanente de SAP.
Autorización de gestión de licencias
Los privilegios de "LICENSE ADMIN" son necesarios para la gestión de licencias.
Auditoría de SAP HANA
Las funciones de auditoría de SAP HANA le permiten monitorear y registrar la acción que se realiza en el sistema SAP HANA. Estas funciones deben activarse para el sistema antes de crear una política de auditoría.
Autorización para auditoría de SAP HANA
Privilegios del sistema "AUDIT ADMIN" necesarios para la auditoría de SAP HANA.
Resumen :
En este tutorial, hemos aprendido el siguiente tema:
- Descripción general de seguridad de SAP HANA.
- Autenticación SAP HANA en detalle.
- Autorización SAP HANA en detalle.
- Método de administración de usuarios de SAP HANA.
- Método de administración de roles de SAP HANA
- Proceso de gestión de licencias de SAP HANA.
- Proceso de auditoría de roles de SAP HANA.
