SAP HANA Admin – 用户配置
SAP HANA Admin – 用户配置
SAP HANA 用户和角色管理配置取决于 HANA 系统的架构。如果 SAP HANA 与 BI 平台工具集成并充当报告数据库,则最终用户和角色在应用程序服务器中进行管理。
如果最终用户直接连接到 SAP HANA 数据库,那么最终用户和管理员都需要在 HANA 系统的数据库层中的用户和角色。
每个想要使用 HANA 数据库的用户都必须有一个具有必要权限的数据库用户。访问 HANA 系统的用户可以是技术用户,也可以是最终用户,具体取决于访问要求。成功登录系统后,验证用户执行所需操作的权限。执行该操作取决于用户被授予的权限。可以使用 HANA 安全中的角色授予这些权限。HANA Studio 是管理 HANA 数据库系统用户和角色的强大工具之一。
用户类型
用户类型因安全策略和分配给用户配置文件的不同权限而异。用户类型可以是技术数据库用户或最终用户。用户需要访问 HANA 系统以报告目的或进行数据操作。
标准用户
标准用户是可以在自己的模式中创建对象并在系统信息模型中具有读取访问权限的用户。读取权限由分配给每个标准用户的 PUBLIC 角色提供。
受限用户
受限用户是那些使用某些应用程序访问 HANA 系统并且他们没有 HANA 系统上的 SQL 权限的用户。创建这些用户时,他们最初没有任何访问权限。
如果我们将受限用户与标准用户进行比较 –
-
受限用户无法在 HANA 数据库或他们自己的架构中创建对象。
-
他们无权查看数据库中的任何数据,因为他们没有像标准用户那样将通用公共角色添加到配置文件中。
-
他们只能使用 HTTP/HTTPS 连接到 HANA 数据库。
HANA 用户管理和角色管理
技术数据库用户仅用于管理目的,例如在数据库中创建新对象、将权限分配给其他用户、包、应用程序等。
SAP HANA 用户管理活动
根据业务需求和 HANA 系统的配置,可以使用 HANA studio 等用户管理工具执行不同的用户活动。
最常见的活动包括 –
- 创建用户
- 为用户授予角色
- 定义和创建角色
- 删除用户
- 重置用户密码
- 登录尝试失败次数过多后重新激活用户
- 在需要时停用用户
在 HANA Studio 中创建用户
仅允许具有系统权限 ROLE ADMIN 的数据库用户在 HANA Studio 中创建用户和角色。要在 HANA Studio 中创建用户和角色,请转到 HANA 管理员控制台。您将在系统视图中看到安全选项卡。
当您展开安全选项卡时,它会提供用户和角色选项。要创建新用户,请右键单击该用户并转到新用户。将打开一个新窗口,您可以在其中定义用户和用户参数。
输入用户名(授权)并在身份验证字段中输入密码。在为新用户保存密码时应用密码。您还可以选择创建受限用户。
指定的角色名称不能与现有用户或角色的名称相同。密码规则包括最小密码长度和定义哪些字符类型(小写、大写、数字、特殊字符)必须是密码的一部分。
可以配置不同的授权方法,如 SAML、X509 证书、SAP 登录票等。数据库中的用户可以通过不同的机制进行身份验证 –
-
使用密码的内部身份验证机制。
-
外部机制,例如 Kerberos、SAML、SAP 登录票证、SAP 断言票证或 X.509。
-
一次可以通过一种以上的机制对用户进行身份验证。但是,在任何时候,Kerberos 只有一个密码和一个主体名称是有效的。必须指定一种身份验证机制以允许用户连接和使用数据库实例。
它还提供了定义用户有效性的选项。您可以通过选择日期来提及有效期。有效性规范是一个可选的用户参数。
SAP HANA 数据库默认提供了一些用户:SYS、SYSTEM、_SYS_REPO、_SYS_STATISTICS。
完成此操作后,接下来是定义用户配置文件的权限。
用户配置文件的特权类型
可以将不同类型的权限添加到用户配置文件中。
授予的角色
这用于将内置 sap.hana 角色添加到用户配置文件或添加在角色选项卡下创建的自定义角色。自定义角色允许您根据访问要求定义角色,并且您可以将这些角色直接添加到用户配置文件中。这消除了每次为不同的访问类型记住对象并将其添加到用户配置文件的需要。
公共角色
这是一个通用角色,默认分配给所有数据库用户。此角色包含对系统视图的只读访问权限和某些过程的执行权限。这些角色不能撤销。
造型
它包含在 SAP HANA 工作室中使用信息建模器所需的所有权限。
系统权限
可以将不同类型的系统权限添加到用户配置文件中。要将系统权限添加到用户配置文件,请单击 (+) 号。
系统权限用于备份/恢复、用户管理、实例启动和停止等。
内容管理员
它包含与 MODELING 角色相似的权限,但另外还允许该角色将这些权限授予其他用户。它还包含使用导入对象的存储库权限。
数据管理员
这是将数据从对象添加到用户配置文件所需的另一种类型的权限。
以下是一些常见的支持系统权限 –
ATTACH DEBUGGER – 授权调试由不同用户调用的过程调用。此外,还需要相应过程的 DEBUG 权限。
AUDIT ADMIN – 控制以下与审计相关的命令的执行:CREATE AUDIT POLICY、DROP AUDIT POLICY 和 ALTER AUDIT POLICY 以及审计配置的更改。还允许访问 AUDIT_LOG 系统视图。
AUDIT OPERATOR – 授权执行以下命令:ALTER SYSTEM CLEAR AUDIT LOG。还允许访问 AUDIT_LOG 系统视图。
BACKUP ADMIN – 授权用于定义和启动备份和恢复过程的 BACKUP 和 RECOVERY 命令。
BACKUP OPERATOR – 授权 BACKUP 命令启动备份过程。
CATALOG READ – 授权用户对所有系统视图具有未经过滤的只读访问权限。通常,这些视图的内容是根据访问用户的权限过滤的。
CREATE SCHEMA – 使用 CREATE SCHEMA 命令授权创建数据库模式。默认情况下,每个用户拥有一个架构。使用此权限,用户可以创建其他模式。
CREATE STRUCTURED PRIVILEGE – 授权创建结构化权限(分析权限)。只有分析权限的所有者才能进一步向其他用户或角色授予或撤销该权限。
CREDENTIAL ADMIN – 授权凭证命令:CREATE/ALTER/DROP CREDENTIAL。
DATA ADMIN – 授权读取系统视图中的所有数据。它还支持在 SAP HANA 数据库中执行任何数据定义语言 (DDL) 命令。拥有此权限的用户无法选择或更改他们没有访问权限的数据存储表,但他们可以删除表或修改表定义。
DATABASE ADMIN – 授权与多数据库中的数据库相关的所有命令,例如 CREATE、DROP、ALTER、RENAME、BACKUP、RECOVERY。
EXPORT – 通过 EXPORT TABLE 命令授权数据库中的导出活动。请注意,除此权限外,用户还需要对要导出的源表具有 SELECT 权限。
IMPORT – 使用 IMPORT 命令授权数据库中的导入活动。请注意,除了此权限之外,用户还需要对要导入的目标表具有 INSERT 权限。
INIFILE ADMIN – 授权更改系统设置。
LICENSE ADMIN – 授权 SET SYSTEM LICENSE 命令安装新许可证。
LOG ADMIN – 授权 ALTER SYSTEM LOGGING [ON|OFF] 命令启用或禁用日志刷新机制。
MONITOR ADMIN – 为事件授权 ALTER SYSTEM 命令。
OPTIMIZER ADMIN – 授权有关 SQL PLAN CACHE 和 ALTER SYSTEM UPDATE STATISTICS 命令的 ALTER SYSTEM 命令,这些命令会影响查询优化器的行为。
RESOURCE ADMIN – 授权有关系统资源的命令。例如,ALTER SYSTEM RECLAIM DATAVOLUME 和 ALTER SYSTEM RESET MONITORING VIEW。它还授权管理控制台中可用的许多命令。
ROLE ADMIN – 使用 CREATE ROLE 和 DROP ROLE 命令授权创建和删除角色。它还使用 GRANT 和 REVOKE 命令授权授予和撤销角色。
已激活的角色,即创建者为预定义用户_SYS_REPO 的角色,既不能授予其他角色或用户,也不能直接删除。具有 ROLE ADMIN 权限的用户也不能这样做。请检查有关激活对象的文档。
SAVEPOINT ADMIN – 使用 ALTER SYSTEM SAVEPOINT 命令授权执行保存点进程。
SAP HANA 数据库的组件可以创建新的系统权限。这些特权使用组件名称作为系统特权的第一个标识符,使用组件特权名称作为第二个标识符。
对象/SQL 权限
对象权限也称为 SQL 权限。这些权限用于允许访问对象,例如表、视图或架构的选择、插入、更新和删除。
以下是对象权限的类型 –
-
仅存在于运行时的数据库对象的对象特权。
-
在存储库中创建的激活对象的对象特权,例如计算视图。
-
包含在存储库中创建的激活对象的架构上的对象特权。
-
对象/SQL 权限是对数据库对象的所有 DDL 和 DML 权限的集合。
以下是一些普遍支持的对象权限 –
HANA 数据库中有多个数据库对象,因此并非所有权限都适用于所有类型的数据库对象。
对象特权及其对数据库对象的适用性。
用户配置文件中的分析权限
有时需要对同一视图中的数据没有任何相关要求的其他用户不应访问该数据。
分析权限用于在对象级别限制对 HANA 信息视图的访问。我们可以在分析权限中应用行和列级别的安全性。
分析权限用于 –
- 为特定值范围分配行和列级安全性
- 为建模视图分配行和列级安全性
套餐特权
在 SAP HANA 存储库中,您可以为特定用户或角色设置包授权。包权限用于允许访问数据模型 – 分析或计算视图或存储库对象。分配给存储库包的所有权限也分配给所有子包。您还可以提及是否可以将分配的用户权限传递给其他用户。
将包权限添加到用户配置文件的步骤 –
-
步骤 1 – 单击 HANA 工作室中用户创建下的包权限选项卡 → 选择 (+) 符号以添加一个或多个包。使用 Ctrl 键选择多个包。
-
步骤 2 – 在“选择存储库包”对话框中,使用全部或部分包名称来定位要授权访问的存储库包。
-
第 3 步– 选择一个或多个要授权访问的存储库包,所选包出现在包权限选项卡中。
以下授予权限用于存储库包以授权用户修改对象 –
-
REPO.READ – 对所选包和设计时对象(本机和导入)的读取访问
-
REPO.EDIT_NATIVE_OBJECTS – 授权修改包中的对象
-
可授予他人
如果您为此选择“是”,这将允许分配的用户授权传递给其他用户。
应用权限
用户配置文件中的应用程序权限,用于定义访问 HANA XS 应用程序的授权。这可以分配给单个用户或一组用户。应用程序权限还可用于为同一应用程序提供不同级别的访问权限,例如为数据库管理员提供高级功能以及为普通用户提供只读访问权限。
要在用户配置文件中定义特定于应用程序的权限或添加一组用户,应使用以下权限 –
- 应用程序权限文件 (.xsprivileges)
- 应用程序访问文件 (.xsaccess)
- 角色定义文件 (<RoleName>.hdbrole)