SAP HANA 安全概述

安全意味著保護(hù)公司的關(guān)鍵數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問(wèn)和使用，并確保承諾和標(biāo)準(zhǔn)符合公司的政策。SAP HANA使客戶能夠?qū)嵤┎煌陌踩呗院统绦颍M足公司的合規(guī)要求。

SAP HANA在單個(gè)HANA系統(tǒng)中支持多個(gè)數(shù)據(jù)庫(kù)，這稱為多租戶數(shù)據(jù)庫(kù)容器。HANA系統(tǒng)還可以包含多個(gè)多租戶數(shù)據(jù)庫(kù)容器。多容器系統(tǒng)總是只有一個(gè)系統(tǒng)數(shù)據(jù)庫(kù)和任意數(shù)量的多租戶數(shù)據(jù)庫(kù)容器。在此環(huán)境中安裝的SAP HANA系統(tǒng)由單個(gè)系統(tǒng)ID（SID）標(biāo)識(shí)。HANA系統(tǒng)中的數(shù)據(jù)庫(kù)容器由SID和數(shù)據(jù)庫(kù)名稱標(biāo)識(shí)。SAP HANA客戶端（稱為HANA studio）連接到特定的數(shù)據(jù)庫(kù)。

SAP HANA提供所有與安全性相關(guān)的功能，例如認(rèn)證，授權(quán)，加密和審計(jì)，以及一些其他多租戶數(shù)據(jù)庫(kù)中不受支持的附加功能。

下面給出了由SAP HANA提供的安全相關(guān)功能的列表：

• 用戶和角色管理
• 認(rèn)證和SSO
• 授權(quán)
• 網(wǎng)絡(luò)中數(shù)據(jù)通信的加密
• 持久層中的數(shù)據(jù)加密

HANA多租戶數(shù)據(jù)庫(kù)中的附加功能：

• 數(shù)據(jù)庫(kù)隔離 - 它涉及通過(guò)操作系統(tǒng)機(jī)制防止跨租戶攻擊

• 配置更改黑名單 - 它涉及防止租戶數(shù)據(jù)庫(kù)管理員更改某些系統(tǒng)屬性

• 受限功能 - 它涉及禁用某些可直接訪問(wèn)文件系統(tǒng)，網(wǎng)絡(luò)或其他資源的數(shù)據(jù)庫(kù)功能。

SAP HANA用戶和角色管理

SAP HANA用戶和角色管理配置取決于HANA系統(tǒng)的體系結(jié)構(gòu)。

• 如果SAP HANA與BI平臺(tái)工具集成并作為報(bào)表數(shù)據(jù)庫(kù)，那么最終用戶和角色在應(yīng)用程序服務(wù)器中進(jìn)行管理。

• 如果最終用戶直接連接到SAP HANA數(shù)據(jù)庫(kù)，則最終用戶和管理員都需要HANA系統(tǒng)的數(shù)據(jù)庫(kù)層中的用戶和角色。

每個(gè)希望使用HANA數(shù)據(jù)庫(kù)的用戶必須有一個(gè)具有必要權(quán)限的數(shù)據(jù)庫(kù)用戶。根據(jù)訪問(wèn)要求，訪問(wèn)HANA系統(tǒng)的用戶可以是技術(shù)用戶，也可以是最終用戶。成功登錄系統(tǒng)后，驗(yàn)證用戶對(duì)執(zhí)行所需操作的權(quán)限。執(zhí)行該操作取決于用戶已被授予的權(quán)限。可以使用HANA安全性中的角色授予這些權(quán)限。HANA Studio是管理HANA數(shù)據(jù)庫(kù)系統(tǒng)的用戶和角色的強(qiáng)大工具之一。

用戶類型

用戶類型根據(jù)安全策略和在用戶配置文件上分配的不同權(quán)限而有所不同。用戶類型可以是技術(shù)數(shù)據(jù)庫(kù)用戶，也可以是最終用戶需要訪問(wèn)HANA系統(tǒng)以進(jìn)行報(bào)表或數(shù)據(jù)操作。

標(biāo)準(zhǔn)用戶

標(biāo)準(zhǔn)用戶是可以在自己的模式中創(chuàng)建對(duì)象并在系統(tǒng)信息模型中具有讀取訪問(wèn)權(quán)限的用戶。讀取訪問(wèn)權(quán)限由分配給每個(gè)標(biāo)準(zhǔn)用戶的PUBLIC角色提供。

受限用戶

受限用戶是那些使用某些應(yīng)用程序訪問(wèn)HANA系統(tǒng)的用戶，并且它們不具有HANA系統(tǒng)上的SQL權(quán)限。當(dāng)這些用戶被創(chuàng)建時(shí)，它們最初是沒(méi)有任何訪問(wèn)權(quán)限的。

如果我們將受限用戶與標(biāo)準(zhǔn)用戶進(jìn)行比較：

• 受限用戶無(wú)法在HANA數(shù)據(jù)庫(kù)或它們自己的模式中創(chuàng)建對(duì)象。

• 受限用戶沒(méi)有訪問(wèn)權(quán)限查看數(shù)據(jù)庫(kù)中的任何數(shù)據(jù)，因?yàn)樗鼈儧](méi)有通用的PUBLIC角色添加到配置文件，如標(biāo)準(zhǔn)用戶等。

• 受限用戶只能使用HTTP/HTTPS連接到HANA數(shù)據(jù)庫(kù)。