Webinar "Kontrola nad dokumentami - elastyczny i skalowalny obieg dokumentów"
Zarejestruj się
E-book Vendor Invoice Managment by OpenText
Pobierz
Webinar "Kontrola nad dokumentami - elastyczny i skalowalny obieg dokumentów"
Zarejestruj się
E-book "Bezpieczeństwo SAP S/4 HANA"
Pobierz za darmo
E-book Vendor Invoice Managment by OpenText
Pobierz
Konferencja Lukardi Day już 5 czerwca 2024 r. w Warszawie
Sprawdź
Konferencja Lukardi Day już 5 czerwca 2024 r. w Warszawie
Webinar - Przed migracją do S/4HANA zoptymalizuj licencje, 20 marca 2023 r. godzina 12:30
SPRAWDŹ
Webinar - "USU Optimization for SAP
Jak optymalizować licencje użytkowników SAP?", 12 grudnia 2023 r. godzina 12:00
Zarejestruj się

Jak zdefiniować koncepcje autoryzacji?

Czas czytania: 3 minut
Tomasz Jurgielewicz

Jak zdefiniować koncepcje autoryzacji?

SAP HANA to koncepcja szybkiego dostępu do danych in-memory. Pozwala ona na analizę dużej, często niezagregowanej, ilości danych, w sposób o wiele szybszy niż w pozostałych bazach danych. Obsługa danych w SAP HANA różni się znacznie od tej, którą znamy z SAP NetWeaver. Posiada swój własny system do zarządzania użytkownikami i autoryzacjami.

Architektura bezpieczeństwa SAP HANA

Koncepcja autoryzacji zaimplementowana w bazach SAP HANA bazuje na autoryzacjach.
Szyfrowanie SSL powinno być skonfigurowane na każdym z trzech typów połączeń:

  1. połączenie klienta i bazy SAP HANA
  2. wewnętrzne połączenia pomiędzy komponentami SAP HANA
  3. połączenie do data center (na przykład backup z użyciem SAP HANA System Replication)

SAP HANA pozwala również na logowanie krytycznych zdarzeń, takich jak zmiany na użytkownikach, rolach, uprawnieniach oraz zmiany konfiguracji i nieprawidłowe logowania. Dodatkowo logowane są odczyt i zapis danych (na przykład via tabele) oraz uruchomienia. Dostępny jest również pewien rodzaj logowania awaryjnego.

SAP HANA - Zarządzanie autoryzacjami i użytkownikami

Baza danych SAP HANA rozróżnia 3 typy użytkowników:

  • użytkownik
  • użytkownik SYSTEM
  • wewnętrzny użytkownik techniczny

Operacje na SAP HANA dla tych użytkowników wymagają odpowiednich uprawnień. Można przypisywać uprawnienia bezpośrednio do użytkowników lub grupować je ze sobą w role.


SAP HANA - Uprawnienia

Podstawowa zasada - dostęp dozwolony jest tylko wtedy, gdy odpowiednie uprawnienia zostały użytkownikowi udzielone. Tak zwana pozytywna autoryzacja.

Żadne autoryzacje w SAP HANA nie są za to negatywne, czyli nie istnieje sposób, dla których użytkownikowi BLOKUJEMY jakiekolwiek dostępy. Dokładnie tak jak w SAP NetWeaver - autoryzacje są jedynie addytywne.

Są trzy typy uprawnień:

  • do obiektów
  • systemowe
  • analityczne


Role SAP HANA

W SAP HANA role są zbiorem uprawnień (lub w niektórych przypadkach zbiorem ról). Role mogą być dziedziczone (zagnieżdżone). Pozwala to dokładnie odwzorować role biznesowe w koncepcją autoryzacji.

Aby zarządzać rolami, powinieneś zawsze pracować w Repozytorium HANA i tworzyć role jako obiekty design-time (role Repozytorium), które później przetransportujesz. Po przetransportowaniu, rola jest aktywowana automatycznie. Tylko te role runtime’owe (role katalogowe) mogą być przypisane.


Koncepcja autoryzacji - Ramy i podstawy

Udzielenie dostępów do obiektów SAP HANA odbywa się standardowo poprzez przypisanie autoryzacji. Ramowa koncepcja określa zasady przypisania uprawnień i ról. Koncepcja taka to gwarant bezpieczeństwa (pod warunkiem, że będą istnieć odpowiednie mechanizmy weryfikujące jej przestrzeganie).

Ramowa koncepcja pomaga poprawić poziom bezpieczeństwa IT przez wdrożenie odpowiednich polityk dostępów. Dlatego ramowa koncepcja autoryzacji powinna odpowiadać na następujące pytania:

  • kto jest uprawniony do tworzenia i zmieniania użytkowników?
  • kto jest uprawniony do tworzenia ról?
  • kto jest uprawniony do przydzielania/zmieniania ról?
  • kto jest odpowiedzialny za administrowanie bazą danych?
  • jak będą zarządzani użytkownicy awaryjni (emergency user/firefighter) i przez kogo?
  • kto będzie kontrolował, którzy użytkownicy?
  • kto jest uprawniony do tworzenia ról XSA?
  • kto jest uprawniony do transportu ról?
  • jakie ograniczenia muszą mieć role?
  • kto jest uprawniony do tworzenia widoków analitycznych?

Koncepcja ramowa musi posiadać następujące informacje:

  1. opis podziału funkcji pomiędzy administracją IT, a działami biznesowymi
  2. opis typów użytkowników (standard i restricted)
  3. obsługę użytkowników SYSTEM
  4. użycie takich użytkowników jak:
  • Administrator
  • Użytkownik techniczny
  • Użytkownik kokpitu
  • Deweloper XSA

5. opis ról dla konkretnych grup użytkowników

6. opis ról z rekomendacjami i wymaganiami:

  • DATA ADMIN
  • ROLE ADMIN
  • CATALOG READ

7. użycie repozytorium i ról HDI

8. korzystanie z autoryzacji:

  • Obiekty
  • Analityka
  • Standard

9. ustawienia dla weryfikacji bazy SAP HANA:

  • Weryfikacja logów audytowych
  • Linux syslog
  • Przypisanie użytkownikom uprawnień audytorskich

10. opis metod dostępów

Dodatkowo (opcjonalnie) można opisać użycie użytkowników awaryjnych oraz dostęp LDAP (jeśli jest). Również należy uwzględnić ewentualne wymogi prawne (takie jak RODO).

Jeśli chcesz dowiedzieć się czegoś więcej o SAP HANA i zarządzaniu autoryzacjami - zapraszamy.


autor:
Tomasz Jurgielewicz /Sast Polska Team/
kontakt: tomasz.jurgielewicz@lukardi.com/pl

————————————————————————————————

WARTO PRZECZYTAĆ:

Zapoznaj się z naszym e-bookiem dotyczącym migracji z SAP ERP na SAP S/4 HANA
Pobierz darmowego e-booka

Jeśli uważasz ten artykuł za wartościowy, podziel się nim proszę.
Pozwoli nam to dotrzeć do nowych osób. Z góry dziękujemy!

Zadbamy o cyfrową transformację Twojego biznesu

Chcesz zabezpieczyć swój biznes przed cyberatakami? A może planujesz cyfrową transformację lub poszukujesz specjalistów IT do projektu? Chętnie pomożemy. Jesteśmy tu dla Ciebie. Porozmawiajmy o profesjonalnych usługach IT dla Twojej firmy.
Skontaktuj się z nami
Darmowy e-book

Wszystko, co musisz wiedzieć
o migracji z SAP ERP na SAP S/4HANA

Nasz zespół ekspertów przygotował dla Ciebie
e-poradnik, dzięki któremu zrobisz to łatwo, bezboleśnie i bez szkody dla bezpieczeństwa
Twojej firmy.

To praktyczna wiedza podana w przystępnym
języku - zupełnie za darmo.
Pobierz darmowego e-booka
Kontakt
kontakt@lukardi.com
+ 48 508 400 203
Dane adresowe
ul. Tęczowa 3 , 60-275 Poznań
NIP: 5213683072
REGON: 360098885
Odwiedź nasze social media:
Dane adresowe
ul. Tęczowa 3 , 60-275 Poznań
NIP: 5213683072
REGON: 360098885
Odwiedź nasze social media:
Lukardi 2024. All Rights Reserved. 
Stworzone z
przez Uxtivity