Wie definieren Sie Berechtigungskonzepte?

SAP HANA ist ein In-Memory-Hochgeschwindigkeits-Datenzugriffskonzept. Es ermöglicht es, große, oft unaggregierte Datenmengen viel schneller zu analysieren als in anderen Datenbanken. Das Datenhandling in SAP HANA unterscheidet sich stark von dem, was wir von SAP NetWeaver kennen. Es verfügt über ein eigenes System zur Verwaltung von Benutzern und Berechtigungen.

SAP HANA Sicherheitsarchitektur

Das in SAP HANA-Datenbanken implementierte Berechtigungskonzept basiert auf Berechtigungen.
Die SSL-Verschlüsselung sollte für jeden der drei Verbindungstypen konfiguriert werden:

1. Verbindung zwischen dem Kunden und der SAP HANA-Datenbank
2. interne Verbindungen zwischen SAP HANA-Komponenten
3. Anbindung an ein Rechenzentrum (z.B. Backup über SAP HANA System Replication)

SAP HANA ermöglicht auch die Protokollierung von kritischen Ereignissen wie Änderungen an Benutzern, Rollen, Berechtigungen und Konfigurationsänderungen sowie ungültige Anmeldungen. Darüber hinaus werden Lese- und Schreibvorgänge (z. B. über Tabellen) und Läufe protokolliert. Eine Art Notfallprotokollierung ist ebenfalls verfügbar.

SAP HANA - Berechtigungs- und Benutzerverwaltung

Die SAP HANA Datenbank unterscheidet zwischen 3 Arten von Benutzern:

• Benutzer
• Benutzer SYSTEM
• interner technischer Benutzer

Die Operationen auf SAP HANA für diese Benutzer erfordern entsprechende Berechtigungen. Sie können den Benutzern direkt Berechtigungen zuweisen oder sie in Rollen zusammenfassen.

SAP HANA - Berechtigungen

Das Grundprinzip: Der Zugang wird nur gestattet, wenn dem Nutzer die entsprechenden Berechtigungen erteilt wurden. Dies wird als positive Autorisierung bezeichnet.

Keine Berechtigungen in SAP HANA sind stattdessen negativ, d.h. es gibt keine Möglichkeit, für die ein Benutzer irgendeinen Zugriff BLOCKT. Genau wie in SAP NetWeaver sind die Berechtigungen nur additiv.

Es gibt drei Arten von Ansprüchen:

• zu den Einrichtungen
• systematisch
• analytisch

SAP HANA-Rollen

In SAP HANA sind Rollen ein Satz von Berechtigungen (oder in manchen Fällen ein Satz von Rollen). Rollen können vererbt (verschachtelt) werden. Dies ermöglicht eine genaue Abbildung von Geschäftsrollen auf das Konzept der Berechtigung.

Um Rollen zu verwalten, sollten Sie immer im HANA Repository arbeiten und Rollen als Design-Time-Objekte (Repository-Rollen) anlegen, die Sie später transportieren werden. Nach dem Transport wird die Rolle automatisch aktiviert. Nur diese Laufzeitrollen (Katalogrollen) können zugewiesen werden.

Berechtigungskonzept - Rahmen und Grundlagen

Die Vergabe von Zugriffen auf SAP HANA-Objekte erfolgt standardmäßig über die Vergabe von Berechtigungen. Ein Rahmenkonzept definiert die Regeln für die Zuweisung von Berechtigungen und Rollen. Ein solches Konzept ist eine Garantie für Sicherheit (vorausgesetzt, es gibt geeignete Mechanismen zur Überprüfung der Einhaltung).

Das Rahmenkonzept trägt dazu bei, das Niveau der IT-Sicherheit durch die Umsetzung geeigneter Zugangsrichtlinien zu verbessern. Daher sollte ein Autorisierungsrahmen die folgenden Fragen beantworten:

• wer ist berechtigt, Benutzer anzulegen und zu ändern?
• wer ist berechtigt, Rollen zu erstellen?
• Wer hat die Befugnis, Rollen zuzuweisen/zu ändern?
• Wer ist für die Verwaltung der Datenbank zuständig?
• Wie und von wem werden die Notfallbenutzer/Feuerwehrleute verwaltet?
• Wer wird welche Nutzer kontrollieren?
• Wer ist berechtigt, XSA-Rollen zu erstellen?
• Wer hat Anspruch auf Transportrollen?
• Welche Bedingungen müssen die Rollen erfüllen?
• wer ist berechtigt, analytische Ansichten zu erstellen?

  Das Rahmenkonzept muss die folgenden Informationen enthalten:

1. Beschreibung der Aufgabenteilung zwischen IT-Administration und Fachabteilungen
2. Beschreibung der Nutzertypen (Standard und eingeschränkt)
3. SYSTEM-Benutzerunterstützung
4. Verwendung von Benutzern wie Administrator, Technischer Benutzer, Cockpit-Benutzer, XSA-Entwickler
5. Beschreibung der Rollen für bestimmte Benutzergruppen
6. Rollenbeschreibung mit Empfehlungen und Anforderungen: DATENVERWALTUNG, ROLLENVERWALTUNG, KATALOG LESEN
7.  Nutzung des Repository und der HDI-Rollen
8. Verwendung der Genehmigung: Einrichtungen, Analytik, Standard
9. Einstellungen für die SAP HANA-Datenbankverifizierung: Verifizierung von Audit-Protokollen, Linux syslog, Zuweisung von Audit-Rechten an Benutzer
10. Beschreibung der Zugangsmethoden

Darüber hinaus kann (optional) die Verwendung von Fallback-Benutzern und LDAP-Zugang (falls vorhanden) beschrieben werden. Auch mögliche rechtliche Anforderungen (wie RODO) sollten einbezogen werden.

Wenn Sie mehr über SAP HANA und das Berechtigungsmanagement erfahren möchten - herzlich willkommen.