SAP HANA to koncepcja szybkiego dostępu do danych in-memory. Pozwala ona na analizę dużej, często niezagregowanej, ilości danych, w sposób o wiele szybszy niż w pozostałych bazach danych. Obsługa danych w SAP HANA różni się znacznie od tej, którą znamy z SAP NetWeaver. Posiada swój własny system do zarządzania użytkownikami i autoryzacjami.
Koncepcja autoryzacji zaimplementowana w bazach SAP HANA bazuje na autoryzacjach.
Szyfrowanie SSL powinno być skonfigurowane na każdym z trzech typów połączeń:
SAP HANA pozwala również na logowanie krytycznych zdarzeń, takich jak zmiany na użytkownikach, rolach, uprawnieniach oraz zmiany konfiguracji i nieprawidłowe logowania. Dodatkowo logowane są odczyt i zapis danych (na przykład via tabele) oraz uruchomienia. Dostępny jest również pewien rodzaj logowania awaryjnego.
Baza danych SAP HANA rozróżnia 3 typy użytkowników:
Operacje na SAP HANA dla tych użytkowników wymagają odpowiednich uprawnień. Można przypisywać uprawnienia bezpośrednio do użytkowników lub grupować je ze sobą w role.
Podstawowa zasada - dostęp dozwolony jest tylko wtedy, gdy odpowiednie uprawnienia zostały użytkownikowi udzielone. Tak zwana pozytywna autoryzacja.
Żadne autoryzacje w SAP HANA nie są za to negatywne, czyli nie istnieje sposób, dla których użytkownikowi BLOKUJEMY jakiekolwiek dostępy. Dokładnie tak jak w SAP NetWeaver - autoryzacje są jedynie addytywne.
Są trzy typy uprawnień:
W SAP HANA role są zbiorem uprawnień (lub w niektórych przypadkach zbiorem ról). Role mogą być dziedziczone (zagnieżdżone). Pozwala to dokładnie odwzorować role biznesowe w koncepcją autoryzacji.
Aby zarządzać rolami, powinieneś zawsze pracować w Repozytorium HANA i tworzyć role jako obiekty design-time (role Repozytorium), które później przetransportujesz. Po przetransportowaniu, rola jest aktywowana automatycznie. Tylko te role runtime’owe (role katalogowe) mogą być przypisane.
Udzielenie dostępów do obiektów SAP HANA odbywa się standardowo poprzez przypisanie autoryzacji. Ramowa koncepcja określa zasady przypisania uprawnień i ról. Koncepcja taka to gwarant bezpieczeństwa (pod warunkiem, że będą istnieć odpowiednie mechanizmy weryfikujące jej przestrzeganie).
Ramowa koncepcja pomaga poprawić poziom bezpieczeństwa IT przez wdrożenie odpowiednich polityk dostępów. Dlatego ramowa koncepcja autoryzacji powinna odpowiadać na następujące pytania:
Koncepcja ramowa musi posiadać następujące informacje:
5. opis ról dla konkretnych grup użytkowników
6. opis ról z rekomendacjami i wymaganiami:
7. użycie repozytorium i ról HDI
8. korzystanie z autoryzacji:
9. ustawienia dla weryfikacji bazy SAP HANA:
10. opis metod dostępów
Dodatkowo (opcjonalnie) można opisać użycie użytkowników awaryjnych oraz dostęp LDAP (jeśli jest). Również należy uwzględnić ewentualne wymogi prawne (takie jak RODO).
Jeśli chcesz dowiedzieć się czegoś więcej o SAP HANA i zarządzaniu autoryzacjami - zapraszamy.
autor: Tomasz Jurgielewicz /Sast Polska Team/
kontakt: tomasz.jurgielewicz@lukardi.com/pl
————————————————————————————————
WARTO PRZECZYTAĆ: