技術數(shù)據(jù)庫用戶僅用于管理目的,例如在數(shù)據(jù)庫中創(chuàng)建新對象,為其他用戶在包、應用程序等上分配權限。
根據(jù)業(yè)務需求和HANA系統(tǒng)的配置,可以使用用戶管理工具(如HANA studio)執(zhí)行不同的用戶活動。
最常見的活動包括:
只有具有系統(tǒng)權限ROLE ADMIN的數(shù)據(jù)庫用戶才能在HANA studio中創(chuàng)建用戶和角色。要在HANA studio中創(chuàng)建用戶和角色,請去到HANA管理員控制臺。你將在系統(tǒng)視圖中看到安全選項卡:
當你展開安全選項卡時,它將提供用戶和角色的選項。要創(chuàng)建新用戶,請右鍵單擊用戶并轉到“New User”。新窗口將打開,你可以在其中定義用戶和用戶參數(shù)。
輸入用戶名(指令)并在認證字段中輸入密碼。應用密碼,同時為新用戶保存密碼。你也可以選擇創(chuàng)建受限用戶。
指定的角色名稱不能與現(xiàn)有用戶或角色的名稱相同。密碼規(guī)則包括最小密碼長度和定義哪些字符類型(下限,上限,數(shù)字,特殊字符),必須是密碼的一部分。
不同的授權方法可以配置為SAML,X509證書,SAP登錄憑證等。數(shù)據(jù)庫中的用戶可以通過不同的機制進行身份驗證:
內部認證機制使用密碼。
外部機制,如Kerberos,SAML,SAP登錄憑證,SAP斷言憑證或X.509。
用戶可以一次由多個機制來驗證。但是,Kerberos驗證一次只能有一個密碼和一個主體名稱有效。必須指定一個認證機制,以允許用戶連接并使用數(shù)據(jù)庫實例。
它還提供了定義用戶的有效性的選項,可以通過選擇日期來提及有效性間隔。有效性規(guī)范是可選的用戶參數(shù)。
默認情況下,隨SAP HANA數(shù)據(jù)庫一起提供的一些用戶是:SYS,SYSTEM,_SYS_REPO,_SYS_STATISTICS。
完成后,下一步是為用戶配置文件定義權限。有不同類型的權限可以添加到用戶配置文件。
這用于向用戶配置文件添加內置的SAP.HANA角色或添加在“Roles”選項卡下創(chuàng)建的自定義角色。自定義角色允許你根據(jù)訪問要求定義角色,并且可以將這些角色直接添加到用戶配置文件中。這消除了每次為不同的訪問類型記住和添加對象到用戶配置文件的需要。
PUBLIC - 這是通用角色,默認情況下分配給所有數(shù)據(jù)庫用戶。此角色包含對系統(tǒng)視圖的只讀訪問權限和對某些程序的執(zhí)行權限。這些角色不能被撤銷。
有不同類型的系統(tǒng)權限可以添加到用戶配置文件。要向用戶配置文件添加系統(tǒng)權限,請點擊“+”符號。
系統(tǒng)權限用于備份/恢復,用戶管理,實例啟動和停止等。
它包含了與MODELING角色類似的權限,但除此之外,該角色允許將這些權限授予其他用戶。它還包含使用導入對象的存儲庫權限。
這是將數(shù)據(jù)從對象添加到用戶配置文件所需的一種權限。
以下給出的是常見支持的系統(tǒng)權限:
它授權由不同用戶調用的程序調用的調試。此外,需要相應程序的DEBUG權限。
控制以下與審計相關的命令的執(zhí)行:CREATE AUDIT POLICY,DROP AUDIT POLICY和ALTER AUDIT POLICY以及審計配置的更改。還允許訪問AUDIT_LOG系統(tǒng)視圖。
它授權執(zhí)行以下命令:ALTER SYSTEM CLEAR AUDIT LOG。還允許訪問AUDIT_LOG系統(tǒng)視圖。
它授權BACKUP和RECOVERY命令來定義和啟動備份和恢復過程。
它授權BACKUP命令啟動備份過程。
它授權用戶對所有系統(tǒng)視圖進行未過濾的只讀訪問。通常,根據(jù)訪問用戶的權限過濾這些視圖的內容。
它授權使用CREATE SCHEMA命令創(chuàng)建數(shù)據(jù)庫模式。默認情況下,每個用戶擁有一個模式,而有此權限的用戶允許創(chuàng)建其他模式。
它授權創(chuàng)建結構權限(分析權限)。只有分析權限的所有者可以進一步向其他用戶或角色授予或撤銷該權限。
它授權證書命令: CREATE/ALTER/DROP CREDENTIAL。
它授權讀取系統(tǒng)視圖中的所有數(shù)據(jù)。它還支持在SAP HANA數(shù)據(jù)庫中執(zhí)行任何數(shù)據(jù)定義語言(DDL)命令。
具有此權限的用戶無法選擇或更改其沒有訪問權限的數(shù)據(jù)存儲表,但可以刪除表或修改表定義。
它授權與多數(shù)據(jù)庫中的數(shù)據(jù)庫相關的所有命令,例如CREATE,DROP,ALTER,RENAME,BACKUP,RECOVERY。
它通過EXPORT TABLE命令授權數(shù)據(jù)庫中的導出活動。
請注意,除此權限外,用戶還需要所導出的源表的SELECT權限。
它使用IMPORT命令授權數(shù)據(jù)庫中的導入活動。
請注意,除此權限外,用戶還需要所導入的目標表的INSERT權限。
它授權更改系統(tǒng)設置。
它授權SET SYSTEM LICENSE命令安裝新的許可證。
它授權ALTER SYSTEM LOGGING [ON|OFF]命令啟用或禁用日志刷新機制。
它授權EVENT的ALTER SYSTEM命令。
它授權關于影響查詢優(yōu)化器行為的SQL PLAN CACHE和ALTER SYSTEM UPDATE STATISTICS命令的ALTER SYSTEM命令。
此權限授權有關系統(tǒng)資源的命令。例如,ALTER SYSTEM RECLAIM DATAVOLUME和ALTER SYSTEM RESET MONITORING VIEW。它還授權管理控制臺中可用的許多命令。
此權限授權使用CREATE ROLE和DROP ROLE命令創(chuàng)建和刪除角色。它還授權使用GRANT和REVOKE命令授予和撤銷角色。
激活的角色,意味著創(chuàng)建者是預定義用戶_SYS_REPO的角色,既不能被授予其他角色或用戶,也不能直接刪除。即使具有ROLE ADMIN權限的用戶也不能這樣做。請檢查有關激活對象的文檔。
它使用ALTER SYSTEM SAVEPOINT命令授權執(zhí)行保存點進程。
SAP HANA數(shù)據(jù)庫的組件可以創(chuàng)建新的系統(tǒng)權限。這些權限使用組件名稱作為系統(tǒng)權限的第一個標識符,而使用組件權限名稱作為第二個標識符。
對象權限也稱為SQL權限。這些權限用于允許訪問諸如表,視圖或模式的選擇,插入,更新和刪除。
下面給出了對象權限的可能類型:
僅在運行時存在的數(shù)據(jù)庫對象的對象權限
存儲庫中創(chuàng)建的已激活對象(如計算視圖)的對象權限
包含存儲庫中創(chuàng)建的已激活對象的模式的對象權限
對象/SQL權限是數(shù)據(jù)庫對象的所有DDL和DML權限的集合。
以下是常見支持的對象權限:
HANA數(shù)據(jù)庫中有多個數(shù)據(jù)庫對象,因此并非所有的權限都適用于各種數(shù)據(jù)庫對象。
對象權限及其在數(shù)據(jù)庫對象上的適用性:
有時,要求同一視圖中的數(shù)據(jù)不應該被其他對這些數(shù)據(jù)沒有任何相關要求的用戶訪問。
分析權限用于在對象級別限制HANA信息視圖的訪問。我們可以在分析權限中應用行和列級別的安全性。
分析權限用于:
在SAP HANA存儲庫中,你可以為特定用戶或角色設置包權限。包權限用于允許訪問數(shù)據(jù)模型 - 分析或計算視圖或存儲庫對象。所有分配給存儲庫包的權限也被分配給所有的子包。你還可以提及是否可以將分配的用戶權限傳遞給其他用戶。
將包權限添加到用戶配置文件的步驟:
在HANA studio的“User creation”下點擊“Package privilege”選項卡→“Choose”+添加一個或多個包。使用Ctrl鍵選擇多個包。
在“Select Repository Package”對話框中,使用全部或部分包名稱來查找要授權訪問的存儲庫包。
選擇要授權訪問的一個或多個存儲庫包,所選包將顯示在“Package Privileges”選項卡中。
下面給出的是授予權限,這些權限在存儲庫包中用于授權用戶修改對象:
REPO.READ - 讀取所選包和設計時對象(包括本機和導入)
REPO.EDIT_NATIVE_OBJECTS - 授權修改包中的對象。
Grantable to Others - 如果你選擇“是”,則允許已分配的用戶權限傳遞給其他用戶。
用戶配置文件中的應用程序權限用于定義訪問HANA XS應用程序的授權。這可以分配給單個用戶或用戶組。應用程序權限還可用于為同一應用程序提供不同級別的訪問權限,如為數(shù)據(jù)庫管理員提供高級功能和對普通用戶提供只讀訪問權限。
要在用戶配置文件中定義應用程序特定權限或添加用戶組,應使用以下權限:
更多建議: