Hur definierar ni behörighetsbegrepp?

SAP HANA är ett koncept för höghastighetsdataåtkomst i minnet. Det gör att stora, ofta oaggregerade, datavolymer kan analyseras mycket snabbare än i andra databaser. Datahanteringen i SAP HANA skiljer sig mycket från vad vi känner till från SAP NetWeaver. Den har ett eget system för att hantera användare och behörigheter.

SAP HANA säkerhetsarkitektur

Det auktoriseringskoncept som implementeras i SAP HANA-databaser baseras på auktoriseringar.
SSL-kryptering bör konfigureras för var och en av de tre anslutningstyperna:

1. Anslutning av kunden och SAP HANA-databasen
2. interna kopplingar mellan SAP HANA-komponenter
3. anslutning till ett datacenter (t.ex. säkerhetskopiering med SAP HANA System Replication)

SAP HANA tillåter också loggning av kritiska händelser som ändringar av användare, roller, behörigheter och konfigurationsändringar samt ogiltiga inloggningar. Dessutom loggas data som läses och skrivs (t.ex. via tabeller) och körningar. Någon typ av nödloggning är också tillgänglig.

SAP HANA - Behörighet och användarhantering

SAP HANA-databasen skiljer mellan 3 typer av användare:

• användare
• användare SYSTEM
• intern teknisk användare

Åtgärder på SAP HANA för dessa användare kräver lämpliga behörigheter. Du kan tilldela behörigheter direkt till användare eller gruppera dem tillsammans i roller.

SAP HANA - Rättigheter

Grundprincipen är att åtkomst endast tillåts om användaren har tilldelats relevanta behörigheter. Detta kallas positiv auktorisation.

Inga behörigheter i SAP HANA är istället negativa, dvs. det finns inget sätt som en användare BLOCKERAR någon åtkomst på. Precis som i SAP NetWeaver är behörigheterna endast additiva.

Det finns tre olika typer av rättigheter:

• till anläggningar
• systematisk
• analytisk

SAP HANA-roller

I SAP HANA är roller en uppsättning behörigheter (eller i vissa fall en uppsättning roller). Roller kan ärvas (nested). Detta möjliggör en exakt mappning av affärsroller till begreppet auktorisation.

För att hantera roller bör du alltid arbeta i HANA Repository och skapa roller som designtidsobjekt (Repository roles), som du senare kommer att transportera. När rollen har transporterats aktiveras den automatiskt. Endast dessa runtime-roller (catalogue roles) kan tilldelas.

Behörighetsbegreppet - ramverk och grunder

Beviljandet av åtkomst till SAP HANA-objekt sker som standard genom tilldelning av behörigheter. Ett ramkoncept definierar reglerna för tilldelning av behörigheter och roller. Ett sådant koncept är en garanti för säkerhet (förutsatt att lämpliga mekanismer finns på plats för att verifiera efterlevnaden).

Ramverkskonceptet bidrar till att förbättra IT-säkerhetsnivån genom att implementera lämpliga tillträdespolicyer. Därför bör ett ramverk för behörighet svara på följande frågor:

• vem har rätt att skapa och ändra användare?
• vem har rätt att skapa roller?
• vem har befogenhet att tilldela/ändra roller?
• vem är ansvarig för att administrera databasen?
• hur kommer nödanvändare/brandmän att hanteras och av vem?
• vem kommer att kontrollera vilka användare?
• Vem har rätt att skapa XSA-roller?
• vem har rätt till transportroller?
• vilka begränsningar måste rollerna ha?
• vem har rätt att skapa analytiska vyer?

  Ramkonceptet måste innehålla följande information:

1. beskrivning av funktionsfördelningen mellan IT-administration och affärsavdelningar
2. beskrivning av användartyper (standard och begränsad)
3. SYSTEM användarstöd
4. användning av användare som administratör, teknisk användare, cockpit-användare, XSA-utvecklare
5. beskrivning av roller för specifika användargrupper
6. rollbeskrivning med rekommendationer och krav: DATAADMINISTRATÖR, ROLLADMINISTRATÖR, KATALOGLÄSARE
7.  användning av förvaret och HDI-roller
8. Användning av tillstånd: Faciliteter, Analys, Standard
9. Inställningar för verifiering av SAP HANA-databasen: Verifiering av revisionsloggar, Linux syslog, Tilldelning av revisionsrättigheter till användare
10. beskrivning av åtkomstmetoder

Dessutom kan (eventuellt) användningen av reservanvändare och LDAP-åtkomst (om sådan finns) beskrivas. Även eventuella juridiska krav (t.ex. RODO) bör inkluderas.

Om du vill lära dig mer om SAP HANA och behörighetshantering - välkommen.