Amministrazione utenti e gestione dei ruoli

Gli utenti del database tecnico vengono utilizzati solo per scopi amministrativi come la creazione di nuovi oggetti nel database, l'assegnazione di privilegi ad altri utenti, su pacchetti, applicazioni ecc.

Attività di amministrazione degli utenti SAP HANA

A seconda delle esigenze aziendali e della configurazione del sistema HANA, esistono diverse attività utente che possono essere eseguite utilizzando uno strumento di amministrazione utente come HANA studio.

Le attività più comuni includono:

  • Crea utenti
  • Concedi ruoli agli utenti
  • Definisci e crea ruoli
  • Eliminazione di utenti
  • Reimpostazione delle password utente
  • Riattivazione degli utenti dopo troppi tentativi di accesso non riusciti
  • Disattivazione degli utenti quando è necessario

Come creare utenti in HANA Studio?

Solo gli utenti del database con il privilegio di sistema ROLE ADMIN possono creare utenti e ruoli in HANA studio. Per creare utenti e ruoli in HANA Studio, vai alla Console di amministrazione di HANA. Vedrai la scheda sicurezza nella vista Sistema -

Quando si espande la scheda di sicurezza, offre l'opzione di utente e ruoli. Per creare un nuovo utente, fai clic con il pulsante destro del mouse su Utente e vai a Nuovo utente. Si aprirà una nuova finestra in cui definire i parametri Utente e Utente.

Immettere il nome utente (mandato) e nel campo Autenticazione immettere la password. La password viene applicata, mentre si salva la password per un nuovo utente. Puoi anche scegliere di creare un utente con limitazioni.

Il nome del ruolo specificato non deve essere identico al nome di un utente o ruolo esistente. Le regole della password includono una lunghezza minima della password e una definizione di quali tipi di carattere (inferiore, superiore, cifra, caratteri speciali) devono far parte della password.

È possibile configurare diversi metodi di autorizzazione come SAML, certificati X509, ticket di accesso SAP, ecc. Gli utenti nel database possono essere autenticati mediante meccanismi diversi:

Meccanismo di autenticazione interno tramite password.

Meccanismi esterni come Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket o X.509.

Un utente può essere autenticato da più di un meccanismo alla volta. Tuttavia, solo una password e un nome principale per Kerberos possono essere validi in qualsiasi momento. È necessario specificare un meccanismo di autenticazione per consentire all'utente di connettersi e lavorare con l'istanza del database.

Offre anche un'opzione per definire la validità dell'utente, è possibile menzionare l'intervallo di validità selezionando le date. La specifica di validità è un parametro utente opzionale.

Alcuni utenti che vengono forniti, per impostazione predefinita, con il database SAP HANA sono: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Fatto ciò, il passaggio successivo consiste nel definire i privilegi per il profilo utente. Esistono diversi tipi di privilegi che possono essere aggiunti a un profilo utente.

Ruoli concessi a un utente

Viene utilizzato per aggiungere ruoli SAP.HANA integrati al profilo utente o per aggiungere ruoli personalizzati creati nella scheda Ruoli. I ruoli personalizzati consentono di definire i ruoli in base ai requisiti di accesso ed è possibile aggiungere questi ruoli direttamente al profilo utente. Ciò elimina la necessità di ricordare e aggiungere oggetti a un profilo utente ogni volta per diversi tipi di accesso.

PUBLIC- Questo è il ruolo generico ed è assegnato a tutti gli utenti del database per impostazione predefinita. Questo ruolo contiene l'accesso in sola lettura alle viste di sistema e privilegi di esecuzione per alcune procedure. Questi ruoli non possono essere revocati.

Modellazione

Contiene tutti i privilegi necessari per utilizzare Information Modeler nello studio SAP HANA.

Privilegi di sistema

Esistono diversi tipi di privilegi di sistema che possono essere aggiunti a un profilo utente. Per aggiungere un privilegio di sistema a un profilo utente, fare clic sul segno +.

I privilegi di sistema vengono utilizzati per backup / ripristino, amministrazione utente, avvio e arresto istanza, ecc.

Amministratore dei contenuti

Contiene privilegi simili a quelli del ruolo MODELLAZIONE, ma con l'aggiunta che questo ruolo può concedere questi privilegi ad altri utenti. Contiene anche i privilegi del repository per lavorare con gli oggetti importati.

Amministratore dei dati

Questo è un tipo di privilegio, richiesto per aggiungere dati da oggetti al profilo utente.

Di seguito sono riportati i privilegi di sistema supportati comuni:

Allega debugger

Autorizza il debug di una chiamata di procedura, chiamata da un altro utente. Inoltre, è necessario il privilegio DEBUG per la procedura corrispondente.

Amministratore di controllo

Controlla l'esecuzione dei seguenti comandi relativi al controllo: CREATE AUDIT POLICY, DROP AUDIT POLICY e ALTER AUDIT POLICY e le modifiche alla configurazione del controllo. Consente inoltre l'accesso alla visualizzazione di sistema AUDIT_LOG.

Operatore di audit

Autorizza l'esecuzione del seguente comando - ALTER SYSTEM CLEAR AUDIT LOG. Consente inoltre l'accesso alla visualizzazione di sistema AUDIT_LOG.

Amministratore di backup

Autorizza i comandi BACKUP e RECOVERY per la definizione e l'avvio delle procedure di backup e ripristino.

Operatore di backup

Autorizza il comando BACKUP ad avviare un processo di backup.

Lettura del catalogo

Autorizza gli utenti ad avere accesso di sola lettura non filtrato a tutte le viste di sistema. Normalmente, il contenuto di queste visualizzazioni viene filtrato in base ai privilegi dell'utente che accede.

Crea schema

Autorizza la creazione di schemi di database utilizzando il comando CREATE SCHEMA. Per impostazione predefinita, ogni utente possiede uno schema, con questo privilegio l'utente può creare schemi aggiuntivi.

CREA UN PRIVILEGIO STRUTTURATO

Autorizza la creazione di Privilegi Strutturati (Privilegi Analitici). Solo il proprietario di un privilegio analitico può concedere o revocare ulteriormente tale privilegio ad altri utenti o ruoli.

Amministratore delle credenziali

Autorizza i comandi delle credenziali - CREATE / ALTER / DROP CREDENTIAL.

Amministratore dei dati

Autorizza la lettura di tutti i dati nelle viste di sistema. Consente inoltre l'esecuzione di qualsiasi comando DDL (Data Definition Language) nel database SAP HANA

Un utente che dispone di questo privilegio non può selezionare o modificare le tabelle di dati archiviati per le quali non dispone dei privilegi di accesso, ma può eliminare le tabelle o modificare le definizioni delle tabelle.

Amministratore del database

Autorizza tutti i comandi relativi ai database in un multi-database, come CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.

Esportare

Autorizza l'attività di esportazione nel database tramite il comando EXPORT TABLE.

Notare che oltre a questo privilegio l'utente richiede l'esportazione del privilegio SELECT sulle tabelle di origine.

Importare

Autorizza l'attività di importazione nel database utilizzando i comandi IMPORT.

Notare che oltre a questo privilegio l'utente richiede l'importazione del privilegio INSERT sulle tabelle di destinazione.

Inifile Admin

Autorizza la modifica delle impostazioni di sistema.

Amministratore della licenza

Autorizza il comando SET SYSTEM LICENSE a installare una nuova licenza.

Amministratore log

Autorizza i comandi ALTER SYSTEM LOGGING [ON | OFF] per abilitare o disabilitare il meccanismo di scaricamento del registro.

Monitorare l'amministratore

Autorizza i comandi ALTER SYSTEM per EVENT.

Amministratore ottimizzatore

Autorizza i comandi ALTER SYSTEM relativi ai comandi SQL PLAN CACHE e ALTER SYSTEM UPDATE STATISTICS, che influenzano il comportamento del Query Optimizer.

Amministratore risorse

Questo privilegio autorizza i comandi relativi alle risorse di sistema. Ad esempio, ALTER SYSTEM RECLAIM DATAVOLUME e ALTER SYSTEM RESET MONITORING VIEW. Autorizza inoltre molti dei comandi disponibili nella Console di gestione.

Amministratore del ruolo

Questo privilegio autorizza la creazione e l'eliminazione di ruoli utilizzando i comandi CREATE ROLE e DROP ROLE. Autorizza inoltre la concessione e la revoca dei ruoli utilizzando i comandi GRANT e REVOKE.

I ruoli attivati, ovvero i ruoli il cui creatore è l'utente predefinito _SYS_REPO, non possono essere concessi ad altri ruoli o utenti né abbandonati direttamente. Nemmeno gli utenti che dispongono del privilegio ROLE ADMIN sono in grado di farlo. Si prega di controllare la documentazione relativa agli oggetti attivati.

Amministratore Savepoint

Autorizza l'esecuzione di un processo savepoint utilizzando il comando ALTER SYSTEM SAVEPOINT.

I componenti del database SAP HANA possono creare nuovi privilegi di sistema. Questi privilegi utilizzano il nome-componente come primo identificatore del privilegio di sistema e il nome-privilegio-componente come secondo identificatore.

Privilegi oggetto / SQL

I privilegi degli oggetti sono noti anche come privilegi SQL. Questi privilegi vengono utilizzati per consentire l'accesso su oggetti come Seleziona, Inserisci, Aggiorna ed Elimina di tabelle, Viste o Schemi.

Di seguito sono riportati i possibili tipi di privilegi dell'oggetto:

  • Privilegio oggetto su oggetti di database che esistono solo in runtime

  • Privilegio degli oggetti sugli oggetti attivati ​​creati nel repository, come le viste di calcolo

  • Privilegio oggetto sullo schema contenente oggetti attivati ​​creati nel repository,

  • I privilegi Object / SQL sono la raccolta di tutti i privilegi DDL e DML sugli oggetti di database.

Di seguito sono riportati i privilegi oggetto comuni supportati:

Esistono più oggetti di database nel database HANA, quindi non tutti i privilegi sono applicabili a tutti i tipi di oggetti di database.

Privilegi oggetto e loro applicabilità su oggetti di database -

Privilegi analitici

A volte, è necessario che i dati nella stessa vista non siano accessibili ad altri utenti che non hanno alcun requisito pertinente per tali dati.

I privilegi analitici vengono utilizzati per limitare l'accesso alle visualizzazioni delle informazioni HANA a livello di oggetto. Possiamo applicare la sicurezza a livello di riga e di colonna in Privilegi analitici.

I privilegi analitici vengono utilizzati per:

  • Allocazione della sicurezza a livello di riga e colonna per un intervallo di valori specifico.
  • Allocazione della sicurezza a livello di riga e colonna per le viste di modellazione.

Privilegi del pacchetto

Nel repository SAP HANA è possibile impostare le autorizzazioni del pacchetto per un utente specifico o per un ruolo. I privilegi del pacchetto vengono utilizzati per consentire l'accesso ai modelli di dati: viste analitiche o di calcolo o agli oggetti del repository. Tutti i privilegi assegnati a un pacchetto di repository vengono assegnati anche a tutti i pacchetti secondari. Puoi anche indicare se le autorizzazioni utente assegnate possono essere trasferite ad altri utenti.

Passaggi per aggiungere i privilegi di un pacchetto al profilo utente -

  • Fare clic sulla scheda Privilegio pacchetto in HANA studio in Creazione utente → Scegli + per aggiungere uno o più pacchetti. Usa il tasto Ctrl per selezionare più pacchetti.

  • Nella finestra di dialogo Seleziona pacchetto del repository, utilizzare tutto o parte del nome del pacchetto per individuare il pacchetto del repository a cui si desidera autorizzare l'accesso.

  • Selezionare uno o più pacchetti del repository a cui si desidera autorizzare l'accesso, i pacchetti selezionati vengono visualizzati nella scheda Privilegi pacchetto.

Di seguito sono riportati i privilegi di concessione, che vengono utilizzati sui pacchetti del repository per autorizzare l'utente a modificare gli oggetti -

  • REPO.READ - Accesso in lettura al pacchetto selezionato e agli oggetti in fase di progettazione (sia nativi che importati)

  • REPO.EDIT_NATIVE_OBJECTS - Autorizzazione a modificare oggetti nei pacchetti.

  • Grantable to Others - Se scegli "Sì" per questo, ciò consente il passaggio dell'autorizzazione utente assegnata agli altri utenti.

Privilegi dell'applicazione

I privilegi dell'applicazione in un profilo utente vengono utilizzati per definire l'autorizzazione per l'accesso all'applicazione HANA XS. Questo può essere assegnato a un singolo utente o al gruppo di utenti. I privilegi dell'applicazione possono essere utilizzati anche per fornire diversi livelli di accesso alla stessa applicazione, come per fornire funzioni avanzate per gli amministratori del database e accesso in sola lettura agli utenti normali.

Per definire i privilegi specifici dell'applicazione in un profilo utente o per aggiungere un gruppo di utenti, è necessario utilizzare i seguenti privilegi:

  • File dei privilegi dell'applicazione (.xsprivileges)
  • File di accesso all'applicazione (.xsaccess)
  • File di definizione del ruolo (<RoleName> .hdbrole)