- SAP HANA 教程
- SAP HANA - 首頁
- SAP HANA 簡介
- SAP HANA - 概述
- 記憶體計算引擎
- SAP HANA - Studio
- Studio 管理檢視
- SAP HANA - 系統監控器
- SAP HANA - 資訊建模器
- SAP HANA - 核心架構
- SAP HANA 建模
- SAP HANA - 建模
- SAP HANA - 資料倉庫
- SAP HANA - 表格
- SAP HANA - 包
- SAP HANA - 屬性檢視
- SAP HANA - 分析檢視
- SAP HANA - 計算檢視
- SAP HANA - 分析許可權
- SAP HANA - 資訊組合器
- SAP HANA - 匯出和匯入
- SAP HANA 資料複製
- SAP HANA - 資料複製概述
- SAP HANA - 基於 ETL 的複製
- SAP HANA - 基於日誌的複製
- SAP HANA - DXC 方法
- SAP HANA - CTL 方法
- SAP HANA - MDX 提供程式
- SAP HANA SQL
- SAP HANA - SQL 概述
- SAP HANA - 資料型別
- SAP HANA - SQL 運算子
- SAP HANA - SQL 函式
- SAP HANA - SQL 表示式
- SAP HANA - SQL 儲存過程
- SAP HANA - SQL 序列
- SAP HANA - SQL 觸發器
- SAP HANA - SQL 同義詞
- SAP HANA - SQL 解釋計劃
- SAP HANA - SQL 資料分析
- SAP HANA - SQL 指令碼
- SAP HANA 有用資源
- SAP HANA - 問答
- SAP HANA - 快速指南
- SAP HANA - 有用資源
- SAP HANA - 討論
使用者管理與角色管理
技術資料庫使用者僅用於管理目的,例如在資料庫中建立新物件,向其他使用者授予許可權,在包,應用程式等上授予許可權。
SAP HANA 使用者管理活動
根據業務需求和 HANA 系統的配置,可以使用使用者管理工具(如 HANA studio)執行不同的使用者活動。
最常見的活動包括 -
- 建立使用者
- 向用戶授予角色
- 定義和建立角色
- 刪除使用者
- 重置使用者密碼
- 在多次登入失敗後重新啟用使用者
- 在需要時停用使用者
如何在 HANA Studio 中建立使用者?
只有具有系統許可權 ROLE ADMIN 的資料庫使用者才能在 HANA studio 中建立使用者和角色。要在 HANA studio 中建立使用者和角色,請轉到 HANA 管理員控制檯。您將在系統檢視中看到安全選項卡 -
展開安全選項卡後,它提供了使用者和角色的選項。要建立新使用者,請右鍵單擊使用者並轉到新建使用者。將開啟一個新視窗,您可以在其中定義使用者和使用者引數。
輸入使用者名稱(必填),並在身份驗證欄位中輸入密碼。儲存新使用者的密碼時會應用密碼。您還可以選擇建立受限使用者。
指定的角色名稱不得與現有使用者或角色的名稱相同。密碼規則包括最短密碼長度以及哪些字元型別(小寫、大寫、數字、特殊字元)必須是密碼的一部分。
可以配置不同的授權方法,如 SAML、X509 證書、SAP 登入票證等。資料庫中的使用者可以透過不同的機制進行身份驗證 -
使用密碼的內部身份驗證機制。
外部機制,例如 Kerberos、SAML、SAP 登入票證、SAP 斷言票證或 X.509。
使用者可以同時透過多種機制進行身份驗證。但是,在任何時間只能有一個密碼和一個 Kerberos 主體名稱有效。必須指定一種身份驗證機制才能允許使用者連線並使用資料庫例項。
它還提供了一個定義使用者有效性的選項,您可以透過選擇日期來提及有效期間隔。有效期規範是可選的使用者引數。
一些預設情況下隨 SAP HANA 資料庫一起提供的使用者是 - SYS、SYSTEM、_SYS_REPO、_SYS_STATISTICS。
完成此操作後,下一步是為使用者配置檔案定義許可權。可以向用戶配置檔案新增不同型別的許可權。
向用戶授予角色
這用於將內建的 SAP.HANA 角色新增到使用者配置檔案或新增在“角色”選項卡下建立的自定義角色。自定義角色允許您根據訪問需求定義角色,您可以將這些角色直接新增到使用者配置檔案。這樣就無需每次為不同的訪問型別記住並向用戶配置檔案新增物件。
PUBLIC - 這是通用角色,預設情況下分配給所有資料庫使用者。此角色包含對系統檢視的只讀訪問許可權以及某些過程的執行許可權。這些角色不能被撤銷。
建模
它包含在 SAP HANA studio 中使用資訊建模器所需的所有許可權。
系統許可權
可以向用戶配置檔案新增不同型別的系統許可權。要向用戶配置檔案新增系統許可權,請單擊“+”號。
系統許可權用於備份/恢復、使用者管理、例項啟動和停止等。
內容管理員
它包含與 MODELING 角色中類似的許可權,但增加了允許此角色向其他使用者授予這些許可權的功能。它還包含用於處理匯入物件的儲存庫許可權。
資料管理員
這是一種許可權型別,需要從物件向用戶配置檔案新增資料。
以下是常見的受支援的系統許可權 -
附加偵錯程式
它授權除錯由不同使用者呼叫的過程呼叫。此外,還需要相應過程的 DEBUG 許可權。
審計管理員
控制以下與審計相關的命令的執行 - CREATE AUDIT POLICY、DROP AUDIT POLICY 和 ALTER AUDIT POLICY 以及審計配置的更改。還允許訪問 AUDIT_LOG 系統檢視。
審計操作員
它授權執行以下命令 - ALTER SYSTEM CLEAR AUDIT LOG。還允許訪問 AUDIT_LOG 系統檢視。
備份管理員
它授權 BACKUP 和 RECOVERY 命令來定義和啟動備份和恢復過程。
備份操作員
它授權 BACKUP 命令以啟動備份過程。
目錄讀取
它授權使用者對所有系統檢視擁有未過濾的只讀訪問許可權。通常,這些檢視的內容會根據訪問使用者的許可權進行過濾。
建立架構
它授權使用 CREATE SCHEMA 命令建立資料庫架構。預設情況下,每個使用者擁有一個架構,使用此許可權,使用者可以建立其他架構。
建立結構化許可權
它授權建立結構化許可權(分析許可權)。只有分析許可權的所有者才能進一步授予或撤銷其他使用者或角色的該許可權。
憑據管理員
它授權憑據命令 - CREATE/ALTER/DROP CREDENTIAL。
資料管理員
它授權讀取系統檢視中的所有資料。它還支援在 SAP HANA 資料庫中執行任何資料定義語言 (DDL) 命令
擁有此許可權的使用者無法選擇或更改儲存在他們沒有訪問許可權的表中的資料,但他們可以刪除表或修改表定義。
資料庫管理員
它授權與多資料庫中的資料庫相關的所有命令,例如 CREATE、DROP、ALTER、RENAME、BACKUP、RECOVERY。
出口
它透過 EXPORT TABLE 命令授權資料庫中的匯出活動。
請注意,除了此許可權外,使用者還需要對要匯出的源表具有 SELECT 許可權。
進口
它使用 IMPORT 命令授權資料庫中的匯入活動。
請注意,除了此許可權外,使用者還需要對要匯入的目標表具有 INSERT 許可權。
Inifile 管理員
它授權更改系統設定。
許可證管理員
它授權 SET SYSTEM LICENSE 命令安裝新許可證。
日誌管理員
它授權 ALTER SYSTEM LOGGING [ON|OFF] 命令來啟用或停用日誌重新整理機制。
監控管理員
它授權用於 EVENT 的 ALTER SYSTEM 命令。
最佳化器管理員
它授權與 SQL PLAN CACHE 相關的 ALTER SYSTEM 命令和 ALTER SYSTEM UPDATE STATISTICS 命令,這些命令會影響查詢最佳化器的行為。
資源管理員
此許可權授權與系統資源相關的命令。例如,ALTER SYSTEM RECLAIM DATAVOLUME 和 ALTER SYSTEM RESET MONITORING VIEW。它還授權管理控制檯中提供的許多命令。
角色管理員
此許可權授權使用 CREATE ROLE 和 DROP ROLE 命令建立和刪除角色。它還授權使用 GRANT 和 REVOKE 命令授予和撤銷角色。
啟用的角色,即其建立者是預定義使用者 _SYS_REPO 的角色,既不能授予其他角色或使用者,也不能直接刪除。即使擁有 ROLE ADMIN 許可權的使用者也無法做到這一點。請檢視有關啟用物件的文件。
儲存點管理員
它授權使用 ALTER SYSTEM SAVEPOINT 命令執行儲存點程序。
SAP HANA 資料庫的元件可以建立新的系統許可權。這些許可權使用元件名稱作為系統許可權的第一個識別符號,並使用元件許可權名稱作為第二個識別符號。
物件/SQL 許可權
物件許可權也稱為 SQL 許可權。這些許可權用於允許訪問物件,例如表、檢視或模式的選擇、插入、更新和刪除。
以下是可能的 Object Privileges 型別 -
僅在執行時存在的資料庫物件的 Object Privilege
在儲存庫中建立的已啟用物件(如計算檢視)上的 Object Privilege
包含在儲存庫中建立的已啟用物件的模式上的 Object Privilege,
物件/SQL 許可權是資料庫物件上所有 DDL 和 DML 許可權的集合。
以下是常見的受支援 Object Privileges -
HANA 資料庫中有多個數據庫物件,因此並非所有許可權都適用於所有型別的資料庫物件。
物件許可權及其在資料庫物件上的適用性 -
分析許可權
有時,需要確保同一檢視中的資料不能被沒有相關需求的其他使用者訪問。
分析許可權用於限制對 HANA 資訊檢視的物件級訪問。我們可以在分析許可權中應用行級和列級安全。
分析許可權用於 -
- 為特定值範圍分配行級和列級安全。
- 為建模檢視分配行級和列級安全。
包許可權
在 SAP HANA 儲存庫中,您可以為特定使用者或角色設定包授權。包許可權用於允許訪問資料模型 - 分析或計算檢視或儲存庫物件。分配給儲存庫包的所有許可權也分配給所有子包。您還可以說明分配的使用者授權是否可以傳遞給其他使用者。
向用戶配置檔案新增包許可權的步驟 -
在 HANA Studio 中的使用者建立下單擊“包許可權”選項卡 → 選擇 + 以新增一個或多個包。使用 Ctrl 鍵選擇多個包。
在“選擇儲存庫包”對話方塊中,使用包名稱的全部或部分來查詢要授權訪問的儲存庫包。
選擇要授權訪問的一個或多個儲存庫包,選定的包將顯示在“包許可權”選項卡中。
以下是用於授權使用者修改物件的儲存庫包上的授予許可權 -
REPO.READ - 讀取選定包和設計時物件(本地和匯入)的訪問許可權
REPO.EDIT_NATIVE_OBJECTS - 授權修改包中的物件。
可授予他人 - 如果為此選擇“是”,則允許分配的使用者授權傳遞給其他使用者。
應用程式許可權
使用者配置檔案中的應用程式許可權用於定義訪問 HANA XS 應用程式的授權。這可以分配給單個使用者或使用者組。應用程式許可權還可以用於為同一應用程式提供不同級別的訪問許可權,例如為資料庫管理員提供高階功能,併為普通使用者提供只讀訪問許可權。
要在使用者配置檔案中定義特定於應用程式的許可權或新增使用者組,應使用以下許可權 -
- 應用程式許可權檔案 (.xsprivileges)
- 應用程式訪問檔案 (.xsaccess)
- 角色定義檔案 (<RoleName>.hdbrole)