SAP HANA 用戶管理和角色管理

2018-12-08 09:54 更新

技術(shù)數(shù)據(jù)庫(kù)用戶僅用于管理目的,例如在數(shù)據(jù)庫(kù)中創(chuàng)建新對(duì)象,為其他用戶在包、應(yīng)用程序等上分配權(quán)限。

SAP HANA用戶管理活動(dòng)

根據(jù)業(yè)務(wù)需求和HANA系統(tǒng)的配置,可以使用用戶管理工具(如HANA studio)執(zhí)行不同的用戶活動(dòng)。

最常見(jiàn)的活動(dòng)包括:

  • 創(chuàng)建用戶
  • 授予用戶角色
  • 定義和創(chuàng)建角色
  • 刪除用戶
  • 重置用戶密碼
  • 多次嘗試登錄失敗后重新激活用戶
  • 在需要時(shí)停用用戶

如何在HANA Studio中創(chuàng)建用戶?

只有具有系統(tǒng)權(quán)限ROLE ADMIN的數(shù)據(jù)庫(kù)用戶才能在HANA studio中創(chuàng)建用戶和角色。要在HANA studio中創(chuàng)建用戶和角色,請(qǐng)去到HANA管理員控制臺(tái)。你將在系統(tǒng)視圖中看到安全選項(xiàng)卡:

Create Users

當(dāng)你展開(kāi)安全選項(xiàng)卡時(shí),它將提供用戶和角色的選項(xiàng)。要?jiǎng)?chuàng)建新用戶,請(qǐng)右鍵單擊用戶并轉(zhuǎn)到“New User”。新窗口將打開(kāi),你可以在其中定義用戶和用戶參數(shù)。

輸入用戶名(指令)并在認(rèn)證字段中輸入密碼。應(yīng)用密碼,同時(shí)為新用戶保存密碼。你也可以選擇創(chuàng)建受限用戶。

指定的角色名稱不能與現(xiàn)有用戶或角色的名稱相同。密碼規(guī)則包括最小密碼長(zhǎng)度和定義哪些字符類型(下限,上限,數(shù)字,特殊字符),必須是密碼的一部分。

New User

不同的授權(quán)方法可以配置為SAML,X509證書(shū),SAP登錄憑證等。數(shù)據(jù)庫(kù)中的用戶可以通過(guò)不同的機(jī)制進(jìn)行身份驗(yàn)證:

內(nèi)部認(rèn)證機(jī)制使用密碼。

外部機(jī)制,如Kerberos,SAML,SAP登錄憑證,SAP斷言憑證或X.509。

用戶可以一次由多個(gè)機(jī)制來(lái)驗(yàn)證。但是,Kerberos驗(yàn)證一次只能有一個(gè)密碼和一個(gè)主體名稱有效。必須指定一個(gè)認(rèn)證機(jī)制,以允許用戶連接并使用數(shù)據(jù)庫(kù)實(shí)例。

它還提供了定義用戶的有效性的選項(xiàng),可以通過(guò)選擇日期來(lái)提及有效性間隔。有效性規(guī)范是可選的用戶參數(shù)。

默認(rèn)情況下,隨SAP HANA數(shù)據(jù)庫(kù)一起提供的一些用戶是:SYS,SYSTEM,_SYS_REPO,_SYS_STATISTICS。

完成后,下一步是為用戶配置文件定義權(quán)限。有不同類型的權(quán)限可以添加到用戶配置文件。

授予用戶角色

這用于向用戶配置文件添加內(nèi)置的SAP.HANA角色或添加在“Roles”選項(xiàng)卡下創(chuàng)建的自定義角色。自定義角色允許你根據(jù)訪問(wèn)要求定義角色,并且可以將這些角色直接添加到用戶配置文件中。這消除了每次為不同的訪問(wèn)類型記住和添加對(duì)象到用戶配置文件的需要。

Granted Roles to Users

PUBLIC - 這是通用角色,默認(rèn)情況下分配給所有數(shù)據(jù)庫(kù)用戶。此角色包含對(duì)系統(tǒng)視圖的只讀訪問(wèn)權(quán)限和對(duì)某些程序的執(zhí)行權(quán)限。這些角色不能被撤銷。

Public

MODELING - 它包含在SAP HANA studio中使用信息建模器所需的所有權(quán)限。

系統(tǒng)權(quán)限

有不同類型的系統(tǒng)權(quán)限可以添加到用戶配置文件。要向用戶配置文件添加系統(tǒng)權(quán)限,請(qǐng)點(diǎn)擊“+”符號(hào)。

系統(tǒng)權(quán)限用于備份/恢復(fù),用戶管理,實(shí)例啟動(dòng)和停止等。

內(nèi)容管理

它包含了與MODELING角色類似的權(quán)限,但除此之外,該角色允許將這些權(quán)限授予其他用戶。它還包含使用導(dǎo)入對(duì)象的存儲(chǔ)庫(kù)權(quán)限。

Content Admin

數(shù)據(jù)管理

這是將數(shù)據(jù)從對(duì)象添加到用戶配置文件所需的一種權(quán)限。

Data Admin

以下給出的是常見(jiàn)支持的系統(tǒng)權(quán)限:

附加調(diào)試器

它授權(quán)由不同用戶調(diào)用的程序調(diào)用的調(diào)試。此外,需要相應(yīng)程序的DEBUG權(quán)限。

審計(jì)管理

控制以下與審計(jì)相關(guān)的命令的執(zhí)行:CREATE AUDIT POLICY,DROP AUDIT POLICY和ALTER AUDIT POLICY以及審計(jì)配置的更改。還允許訪問(wèn)AUDIT_LOG系統(tǒng)視圖。

審計(jì)操作員

它授權(quán)執(zhí)行以下命令:ALTER SYSTEM CLEAR AUDIT LOG。還允許訪問(wèn)AUDIT_LOG系統(tǒng)視圖。

備份管理

它授權(quán)BACKUP和RECOVERY命令來(lái)定義和啟動(dòng)備份和恢復(fù)過(guò)程。

備份操作員

它授權(quán)BACKUP命令啟動(dòng)備份過(guò)程。

目錄讀取

它授權(quán)用戶對(duì)所有系統(tǒng)視圖進(jìn)行未過(guò)濾的只讀訪問(wèn)。通常,根據(jù)訪問(wèn)用戶的權(quán)限過(guò)濾這些視圖的內(nèi)容。

創(chuàng)建模式

它授權(quán)使用CREATE SCHEMA命令創(chuàng)建數(shù)據(jù)庫(kù)模式。默認(rèn)情況下,每個(gè)用戶擁有一個(gè)模式,而有此權(quán)限的用戶允許創(chuàng)建其他模式。

創(chuàng)建結(jié)構(gòu)權(quán)限

它授權(quán)創(chuàng)建結(jié)構(gòu)權(quán)限(分析權(quán)限)。只有分析權(quán)限的所有者可以進(jìn)一步向其他用戶或角色授予或撤銷該權(quán)限。

證書(shū)管理

它授權(quán)證書(shū)命令: CREATE/ALTER/DROP CREDENTIAL。

數(shù)據(jù)管理

它授權(quán)讀取系統(tǒng)視圖中的所有數(shù)據(jù)。它還支持在SAP HANA數(shù)據(jù)庫(kù)中執(zhí)行任何數(shù)據(jù)定義語(yǔ)言(DDL)命令。

具有此權(quán)限的用戶無(wú)法選擇或更改其沒(méi)有訪問(wèn)權(quán)限的數(shù)據(jù)存儲(chǔ)表,但可以刪除表或修改表定義。

數(shù)據(jù)庫(kù)管理

它授權(quán)與多數(shù)據(jù)庫(kù)中的數(shù)據(jù)庫(kù)相關(guān)的所有命令,例如CREATE,DROP,ALTER,RENAME,BACKUP,RECOVERY。

導(dǎo)出

它通過(guò)EXPORT TABLE命令授權(quán)數(shù)據(jù)庫(kù)中的導(dǎo)出活動(dòng)。

請(qǐng)注意,除此權(quán)限外,用戶還需要所導(dǎo)出的源表的SELECT權(quán)限。

導(dǎo)入

它使用IMPORT命令授權(quán)數(shù)據(jù)庫(kù)中的導(dǎo)入活動(dòng)。

請(qǐng)注意,除此權(quán)限外,用戶還需要所導(dǎo)入的目標(biāo)表的INSERT權(quán)限。

配置文件管理

它授權(quán)更改系統(tǒng)設(shè)置。

許可證管理

它授權(quán)SET SYSTEM LICENSE命令安裝新的許可證。

日志管理

它授權(quán)ALTER SYSTEM LOGGING [ON|OFF]命令啟用或禁用日志刷新機(jī)制。

監(jiān)控管理

它授權(quán)EVENT的ALTER SYSTEM命令。

優(yōu)化器管理

它授權(quán)關(guān)于影響查詢優(yōu)化器行為的SQL PLAN CACHE和ALTER SYSTEM UPDATE STATISTICS命令的ALTER SYSTEM命令。

資源管理

此權(quán)限授權(quán)有關(guān)系統(tǒng)資源的命令。例如,ALTER SYSTEM RECLAIM DATAVOLUME和ALTER SYSTEM RESET MONITORING VIEW。它還授權(quán)管理控制臺(tái)中可用的許多命令。

角色管理

此權(quán)限授權(quán)使用CREATE ROLE和DROP ROLE命令創(chuàng)建和刪除角色。它還授權(quán)使用GRANT和REVOKE命令授予和撤銷角色。

激活的角色,意味著創(chuàng)建者是預(yù)定義用戶_SYS_REPO的角色,既不能被授予其他角色或用戶,也不能直接刪除。即使具有ROLE ADMIN權(quán)限的用戶也不能這樣做。請(qǐng)檢查有關(guān)激活對(duì)象的文檔。

保存點(diǎn)管理

它使用ALTER SYSTEM SAVEPOINT命令授權(quán)執(zhí)行保存點(diǎn)進(jìn)程。

SAP HANA數(shù)據(jù)庫(kù)的組件可以創(chuàng)建新的系統(tǒng)權(quán)限。這些權(quán)限使用組件名稱作為系統(tǒng)權(quán)限的第一個(gè)標(biāo)識(shí)符,而使用組件權(quán)限名稱作為第二個(gè)標(biāo)識(shí)符。

對(duì)象/SQL權(quán)限

對(duì)象權(quán)限也稱為SQL權(quán)限。這些權(quán)限用于允許訪問(wèn)諸如表,視圖或模式的選擇,插入,更新和刪除。

Object SQL Privileges

下面給出了對(duì)象權(quán)限的可能類型:

  • 僅在運(yùn)行時(shí)存在的數(shù)據(jù)庫(kù)對(duì)象的對(duì)象權(quán)限

  • 存儲(chǔ)庫(kù)中創(chuàng)建的已激活對(duì)象(如計(jì)算視圖)的對(duì)象權(quán)限

  • 包含存儲(chǔ)庫(kù)中創(chuàng)建的已激活對(duì)象的模式的對(duì)象權(quán)限

  • 對(duì)象/SQL權(quán)限是數(shù)據(jù)庫(kù)對(duì)象的所有DDL和DML權(quán)限的集合。

以下是常見(jiàn)支持的對(duì)象權(quán)限:

HANA數(shù)據(jù)庫(kù)中有多個(gè)數(shù)據(jù)庫(kù)對(duì)象,因此并非所有的權(quán)限都適用于各種數(shù)據(jù)庫(kù)對(duì)象。

Multiple Data Objects

對(duì)象權(quán)限及其在數(shù)據(jù)庫(kù)對(duì)象上的適用性:

Object Privileges and their Applicability

分析權(quán)限

有時(shí),要求同一視圖中的數(shù)據(jù)不應(yīng)該被其他對(duì)這些數(shù)據(jù)沒(méi)有任何相關(guān)要求的用戶訪問(wèn)。

分析權(quán)限用于在對(duì)象級(jí)別限制HANA信息視圖的訪問(wèn)。我們可以在分析權(quán)限中應(yīng)用行和列級(jí)別的安全性。

分析權(quán)限用于:

  • 為特定的值范圍分配行和列級(jí)別的安全性。
  • 為建模視圖分配行和列級(jí)別的安全性。

Analytic Privileges

包權(quán)限

在SAP HANA存儲(chǔ)庫(kù)中,你可以為特定用戶或角色設(shè)置包權(quán)限。包權(quán)限用于允許訪問(wèn)數(shù)據(jù)模型 - 分析或計(jì)算視圖或存儲(chǔ)庫(kù)對(duì)象。所有分配給存儲(chǔ)庫(kù)包的權(quán)限也被分配給所有的子包。你還可以提及是否可以將分配的用戶權(quán)限傳遞給其他用戶。

將包權(quán)限添加到用戶配置文件的步驟:

  • 在HANA studio的“User creation”下點(diǎn)擊“Package privilege”選項(xiàng)卡→“Choose”+添加一個(gè)或多個(gè)包。使用Ctrl鍵選擇多個(gè)包。

  • 在“Select Repository Package”對(duì)話框中,使用全部或部分包名稱來(lái)查找要授權(quán)訪問(wèn)的存儲(chǔ)庫(kù)包。

  • 選擇要授權(quán)訪問(wèn)的一個(gè)或多個(gè)存儲(chǔ)庫(kù)包,所選包將顯示在“Package Privileges”選項(xiàng)卡中。

Package Privileges

下面給出的是授予權(quán)限,這些權(quán)限在存儲(chǔ)庫(kù)包中用于授權(quán)用戶修改對(duì)象:

  • REPO.READ - 讀取所選包和設(shè)計(jì)時(shí)對(duì)象(包括本機(jī)和導(dǎo)入)

  • REPO.EDIT_NATIVE_OBJECTS - 授權(quán)修改包中的對(duì)象。

  • Grantable to Others - 如果你選擇“是”,則允許已分配的用戶權(quán)限傳遞給其他用戶。

應(yīng)用程序權(quán)限

用戶配置文件中的應(yīng)用程序權(quán)限用于定義訪問(wèn)HANA XS應(yīng)用程序的授權(quán)。這可以分配給單個(gè)用戶或用戶組。應(yīng)用程序權(quán)限還可用于為同一應(yīng)用程序提供不同級(jí)別的訪問(wèn)權(quán)限,如為數(shù)據(jù)庫(kù)管理員提供高級(jí)功能和對(duì)普通用戶提供只讀訪問(wèn)權(quán)限。

Application Privileges

要在用戶配置文件中定義應(yīng)用程序特定權(quán)限或添加用戶組,應(yīng)使用以下權(quán)限:

  • 應(yīng)用程序權(quán)限文件(.xsprivileges)
  • 應(yīng)用程序訪問(wèn)文件(.xsaccess)
  • 角色定義文件(<RoleName>.hdbrole)

以上內(nèi)容是否對(duì)您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號(hào)
微信公眾號(hào)

編程獅公眾號(hào)