# SAP HANA 安全性：完整教程 > 原文： [https://www.guru99.com/sap-hana-security.html](https://www.guru99.com/sap-hana-security.html) ##### 什么是 Sap Hana Security？ SAP HANA 安全保護重要數據免受未經授權的訪問，并確保標準和合規性符合公司采用的安全標準。 SAP HANA 提供了一種功能，即多租戶數據庫，可以在單個 SAP HANA 系統上創建多個數據庫。 它被稱為多租戶數據庫容器。 因此，SAP HANA 為所有多租戶數據庫容器提供了所有與安全相關的功能。 SAP HANA 提供以下與安全性相關的功能– * 用戶和角色管理 * 授權書 * 認證方式 * 持久層中的數據加密 * 網絡層中的數據加密 **SAP HANA 用戶和角色** SAP HANA 用戶和角色管理配置取決于以下架構– 1. **3-Tier Architecture.** SAP HANA 可以用作 3 層體系結構中的關系數據庫。 在此體系結構中，安全功能（授權，身份驗證，加密和審核）安裝在應用程序服務器層上。 SAP 應用程序（ERP，BW 等）僅在技術用戶或數據庫管理員（基礎人員）的幫助下連接到數據庫。 最終用戶無法直接訪問數據庫或數據庫服務器。 [ ](/images/sap-hana/030216_1259_SAPHANASECU1.png) 2. **2-Tier Architecture.** **SAP HANA 擴展應用程序服務（SAP HANA XS）**基于 2 層體系結構，其中應用程序服務器，Web 服務器和開發環境嵌入在單個系統中。  ## SAP HANA 身份驗證 數據庫用戶標識誰在訪問 SAP HANA 數據庫。 通過名為“身份驗證”的過程進行驗證。 SAP HANA 支持許多身份驗證方法。 單點登錄（SSO）用于集成多種身份驗證方法。 SAP HANA 支持以下身份驗證方法- * **Kerberos**：在以下情況下可以使用– * 直接從 JDBC 和 ODBC 客戶端（SAP HANA Studio）。 * 使用 HTTP 訪問 SAP HANA XS 時。 * **User Name / Password** 當用戶輸入其數據庫用戶名和密碼時，SAP HANA 數據庫將對用戶進行身份驗證。 * **Security Assertion Markup Language(SAML)** **SAML** 可用于驗證直接通過 ODBC / JDBC 訪問 SAP HANA 數據庫的 SAP HANA 用戶。 這是將外部用戶身份映射到內部數據庫用戶的過程，因此用戶可以使用外部用戶 ID 登錄 sap 數據庫。 * **SAP Logon and Assertion Tickets** 可以通過登錄票證或斷言票證對用戶進行身份驗證，該票證已被配置并頒發給用戶以創建票證。 * **X.509 Clients Certificates** 通過 HTTP 進行 SAP HANA XS 訪問時，可以使用由受信任的證書頒發機構（CA）簽名的客戶端證書來對用戶進行身份驗證。 ## SAP HANA 授權 當用戶使用客戶端界面（JDBC，ODBC 或 HTTP）訪問 SAP HANA 數據庫時，需要 SAP HANA 授權。 根據提供給用戶的授權，它可以對數據庫對象執行數據庫操作。 此授權稱為“特權”。 特權可以直接或間接（通過角色）授予用戶。 分配給用戶的所有特權將合并為一個單元。 當用戶嘗試訪問任何 SAP HANA 數據庫對象時，HANA 系統將通過用戶角色對用戶執行授權檢查，并直接授予特權。 找到請求的特權后，HANA 系統將跳過進一步的檢查，并授予對請求數據庫對象的訪問權限。 在 SAP HANA 中，以下特權是它們的- | **特權類型** | **說明** | | 系統特權 | 它控制正常的系統活動。 系統特權主要用于– * 在 SAP HANA 數據庫中創建和刪除架構 * 在 SAP HANA 數據庫 * 監視和跟蹤 SAP HANA 數據庫 * 執行數據備份 * 管理許可證 * 管理版本 * 管理審核 * 導入 內容導出和輸出 * 維護交貨單位 | | 對象特權 | 對象特權是 [SQL](/sql.html) 特權，用于授予讀取和修改數據庫對象的權限。 要訪問數據庫對象，用戶需要具有數據庫對象或存在數據庫對象的模式的對象特權。 可以將對象特權授予目錄對象（表，視圖等）或非目錄對象（開發對象）。 對象權限如下- * 創建任何 * 更新，插入，選擇，刪除，刪除，更改，執行 * INDEX，觸發器，調試 ，參考文獻 | | 分析特權 | 分析特權用于允許對 SAP HANA 信息模型的數據（屬性視圖，分析視圖，計算視圖）進行讀取訪問。 * 在查詢處理期間評估此特權。 * 分析特權授予對 * 基于用戶角色的相同信息視圖中數據不同部分的不同用戶訪問權限。 * SAP HANA 數據庫中使用了分析特權，以提供行級數據。 控件使單個用戶可以在同一視圖中查看數據。 | | 套餐優惠 | 程序包特權用于為 SAP HANA 存儲庫中的各個程序包的操作提供授權。 | | 申請特權 | SAP HANA 擴展應用程序服務（SAP HANA XS）中需要訪問權限的應用程序特權。 通過 _SYS_REPO 模式中的 GRANT_APPLICATION_PRIVILEGE 和 REVOKE_APPLICATION_PRIVILEGE 過程來授予和撤消應用程序特權。 | | 用戶特權 | 它是一種 SQL 特權，可以由用戶在自己的用戶上授予。 ATTACH DEBUGGER 是可以授予用戶的唯一特權。 | ## SAP HANA 用戶管理和角色管理 要訪問 SAP HANA 數據庫，需要用戶。 根據不同的安全策略，SAP HANA 中有兩種類型的用戶，如下所示– 1. **Technical User (DBA User) –** Itis a user who directly work with SAP HANA database with necessary privileges. Normally, these users don't get deleted from the database. 這些用戶是為執行管理任務而創建的，例如創建對象并授予對數據庫對象或應用程序的特權。 SAP HANA 數據庫系統默認提供以下用戶作為標準用戶– * 系統 * 系統 * _SYS_REPO 2. **Database or Real User:** Each user who wants to work on SAP HANA database, need a database user. Database user are a real person who works on SAP HANA. 以下是兩種類型的數據庫用戶： | **用戶類型** | **Description** | **分配了角色** | | 標準用戶 | 該用戶可以在自己的架構中創建對象，并在系統視圖中讀取數據。 使用“ CREATE USER”語句創建的標準用戶。 | 為讀取的系統視圖分配了 PUBLIC 角色。 | | 受限用戶 | 受限用戶沒有通過 SQL 控制臺的完全 SQL 訪問權限，而是使用“ CREATE RESTRICTED USER”語句創建的。 如果使用任何應用程序都需要特權，那么將通過角色提供特權。 * 受限用戶無法創建數據庫對象。 * 受限用戶無法查看數據庫中的數據。 * 受限用戶僅通過 HTTP 連接到數據庫。 * 必須使用 SQL 語句啟用對客戶端連接的 ODBC / JDBC 訪問。 | 用戶需要 RESTRICTED_USER_ODBC_ACCESS 或 RESTRICTED_USER_JDBC_ACCESS 角色才能完全訪問 ODBC / JDBC 功能 | SAP HANA 用戶管理員有權訪問以下活動– 1. 創建/刪除用戶。 2. 定義和創建角色。 3. 向用戶授予角色。 4. 重置用戶密碼。 5. 根據要求重新激活/取消激活用戶。 1. **Create User in SAP HANA-** only database user with ROLE ADMIN privileges can create user and role in SAP HANA. **步驟 1）**要在 SAP HANA Studio 中創建新用戶，請轉到安全標簽，如下所示，并執行以下步驟： 1. 進入安全節點。 2. 選擇用戶（右鍵單擊）->新用戶。 [ ](/images/sap-hana/030216_1259_SAPHANASECU3.png) **步驟 2）**出現用戶創建屏幕。 1. 輸入用戶名。 2. 輸入用戶密碼。 3. 這些是身份驗證機制，默認情況下，用戶名/密碼用于身份驗證。 [ ](/images/sap-hana/030216_1259_SAPHANASECU4.png) 通過單擊部署，將創建  按鈕用戶。 **2.定義和創建角色** 角色是可以授予其他用戶或角色的特權的集合。 該角色包括對數據庫對象&應用程序的特權，并取決于作業的性質。 這是授予特權的標準機制。 特權可以直接授予用戶。 SAP HANA 數據庫中有許多標準角色（例如，MODELLING，MONITORING 等）。 我們可以將標準角色用作創建自定義角色的模板。 角色可以包含以下特權– * 用于管理和開發任務（CATALOG READ，AUDIT ADMIN 等）的系統特權 * 數據庫對象的對象特權（SELECT，INSERT，DELETE 等） * SAP HANA 信息視圖的分析特權 * 存儲庫軟件包的軟件包特權（REPO.READ，REPO.EDIT_NATIVE_OBJECTS 等） * SAP HANA XS 應用程序的應用程序特權。 * 用戶的特權（用于程序調試）。 **角色創建** **步驟 1）**在此步驟中， 1. 轉到 SAP HANA 系統中的“安全性”節點。 2. 選擇角色節點（右鍵單擊），然后選擇新建角色。  **步驟 2）**顯示角色創建屏幕。  1. 在“新角色塊”下輸入角色名稱。 2. 選擇“授予的角色”選項卡，然后單擊“ +”圖標以添加標準角色或退出角色。 3. 選擇所需角色（例如，MODELLING，MONITORING 等） **步驟 3）**在此步驟中， 1. 所選角色將添加到“授予的角色”選項卡中。 2. 可以通過選擇系統特權，對象特權，分析特權，程序包特權等將特權直接分配給用戶。 3. 單擊部署圖標以創建角色。  如果您想將此角色分配給其他用戶和角色，請勾選“授予其他用戶和角色”選項。 **3.向用戶**授予角色 **步驟 1）**在這一步中，我們將角色“ MODELLING_VIEW”分配給另一個用戶“ ABHI_TEST”。 1. 轉到“安全性”節點下的“用戶”子節點，然后雙擊它。 將顯示用戶窗口。 2. 單擊授予角色“ +”圖標。 3. 將出現一個彈出窗口，搜索角色名稱將分配給用戶。  **步驟 2）**在此步驟中，將在“角色”下添加角色“ MODELLING_VIEW”。  **步驟 3）**在此步驟中， 1. 單擊部署按鈕。 2. 顯示一條消息“ User'ABHI_TEST”已更改。  **4.重置用戶密碼** 如果需要重設用戶密碼，請轉到“安全性”節點下的“用戶”子節點，然后雙擊它。 將顯示用戶窗口。 **步驟 1）**在此步驟中， 1. 輸入新密碼。 2. 輸入確認密碼。  **步驟 2）**在此步驟中， 1. 單擊部署按鈕。 2. 顯示一條消息“ User'ABHI_TEST”已更改。  **5.重新激活/停用用戶** 轉到“安全性”節點下的“用戶”子節點，然后雙擊它。 將顯示用戶窗口。 有停用用戶圖標。 點擊它  出現確認信息“彈出”。 點擊“是”按鈕。  將顯示一條消息“用戶'ABHI_TEST'已停用”。 停用圖標的名稱更改為“激活用戶”。 現在，我們可以從同一圖標激活用戶。 ## SAP HANA 許可證管理 使用 SAP HANA 數據庫需要許可證密鑰。 可以使用 SAP HANA Studio，SAP HANA HDBSQL 命令行工具和 HANA SQL 查詢編輯器來安裝和刪除許可證密鑰。 SAP HANA 數據庫支持兩種類型的許可證密鑰– * **永久許可證密鑰**：永久許可證密鑰有效期至到期日。 我們需要在過期之前請求并應用許可證密鑰。 如果許可證密鑰過期，則會在 28 天之內自動安裝臨時許可證密鑰。 * **臨時許可證密鑰**：隨新的 SAP HANA 數據庫安裝自動安裝。 有效期為 90 天，以后可以從 SAP 申請永久密鑰。 **授權管理** **“許可證管理”** 特權是許可證管理所必需的。 ## SAP HANA 審核 SAP HANA 審核功能使您可以監視和記錄在 SAP HANA 系統中執行的操作。 在創建審核策略之前，應為系統激活此功能。 **授權進行 SAP HANA 審核** **“審核管理員”** 系統 SAP HANA 審核所需的特權。 **摘要**： 在本教程中，我們學習了以下主題- * SAP HANA 安全性概述。 * SAP HANA 身份驗證的詳細信息。 * SAP HANA 授權的詳細信息。 * SAP HANA 用戶管理方法。 * SAP HANA 角色管理方法 * SAP HANA 許可證管理流程。 * SAP HANA 角色審核流程。