- SAP HANA 管理員教程
- SAP HANA 管理員 - 首頁
- SAP HANA 管理員 - 概述
- 架構概述
- 多租戶資料庫
- 多個主機系統
- 工具
- Cockpit
- Studio
- SAP HANA 管理員 - 系統管理
- 多租戶資料庫容器管理
- 啟動 HANA 系統
- 停止 HANA 系統
- 許可證金鑰
- 監控 HANA 系統
- SAP HANA 管理員 - 表管理
- SAP HANA 管理員 - 表分割槽
- SAP HANA 管理員 - 表複製
- 資料壓縮
- Solman 整合
- SAP HANA 管理員 - 生命週期管理
- 保護 HANA 系統
- 使用者配置
- 身份驗證方法
- 審計活動
- 備份 HANA 系統
- 恢復 HANA 系統
- HANA XS 應用服務
- 資料配置
- 智慧資料訪問
- 新的遠端系統連線
- 與 Hadoop 整合
- 關鍵命令
- 工作職責
- SAP HANA 管理員有用資源
- SAP HANA 管理員 - 快速指南
- SAP HANA 管理員 - 有用資源
- SAP HANA 管理員 - 討論
SAP HANA 管理員 - 使用者配置
SAP HANA 使用者和角色管理配置取決於您的 HANA 系統架構。如果 SAP HANA 與 BI 平臺工具整合並充當報表資料庫,則終端使用者和角色在應用伺服器中管理。
如果終端使用者直接連線到 SAP HANA 資料庫,則 HANA 系統資料庫層的使用者和角色對於終端使用者和管理員都是必需的。
每個想要使用 HANA 資料庫的使用者都必須擁有具有必要許可權的資料庫使用者。訪問 HANA 系統的使用者可以是技術使用者或終端使用者,具體取決於訪問需求。成功登入系統後,將驗證使用者執行所需操作的授權。執行該操作取決於授予使用者的許可權。這些許可權可以使用 HANA 安全性中的角色來授予。HANA Studio 是管理 HANA 資料庫系統使用者和角色的強大工具之一。
使用者型別
使用者型別根據安全策略和分配給使用者配置檔案的不同許可權而有所不同。使用者型別可以是技術資料庫使用者或終端使用者。使用者需要訪問 HANA 系統以進行報表目的或資料操作。
標準使用者
標準使用者是可以在其自己的模式中建立物件並在系統資訊模型中具有讀取訪問許可權的使用者。讀取訪問許可權由 PUBLIC 角色提供,該角色分配給每個標準使用者。
受限使用者
受限使用者是指透過某些應用程式訪問 HANA 系統並且在 HANA 系統上沒有 SQL 許可權的使用者。建立這些使用者時,他們最初沒有任何訪問許可權。
如果我們將受限使用者與標準使用者進行比較:
受限使用者無法在 HANA 資料庫或其自己的模式中建立物件。
他們無法檢視資料庫中的任何資料,因為他們沒有像標準使用者一樣將通用 Public 角色新增到配置檔案中。
他們只能使用 HTTP/HTTPS 連線到 HANA 資料庫。
HANA 使用者管理和角色管理
技術資料庫使用者僅用於管理目的,例如在資料庫中建立新物件,向其他使用者、包、應用程式等分配許可權。
SAP HANA 使用者管理活動
根據業務需求和 HANA 系統的配置,可以使用使用者管理工具(例如 HANA Studio)執行不同的使用者活動。
最常見的活動包括:
- 建立使用者
- 向用戶授予角色
- 定義和建立角色
- 刪除使用者
- 重置使用者密碼
- 在多次登入失敗後重新啟用使用者
- 在需要時停用使用者
在 HANA Studio 中建立使用者
只有具有系統許可權 ROLE ADMIN 的資料庫使用者才能在 HANA Studio 中建立使用者和角色。要在 HANA Studio 中建立使用者和角色,請轉到 HANA 管理員控制檯。您將在“系統”檢視中看到“安全”選項卡。
展開安全選項卡後,它會提供使用者和角色選項。要建立新使用者,請右鍵單擊“使用者”並轉到“新建使用者”。將開啟一個新視窗,您可以在其中定義使用者和使用者引數。
輸入使用者名稱(必填),並在“身份驗證”欄位中輸入密碼。儲存新使用者的密碼時會應用密碼。您也可以選擇建立受限使用者。
指定的使用者名稱不得與現有使用者或角色的名稱相同。密碼規則包括最短密碼長度以及必須是密碼一部分的字元型別(小寫、大寫、數字、特殊字元)的定義。
可以配置不同的授權方法,例如 SAML、X509 證書、SAP 登入票證等。資料庫中的使用者可以透過不同的機制進行身份驗證:
使用密碼的內部身份驗證機制。
外部機制,例如 Kerberos、SAML、SAP 登入票證、SAP 斷言票證或 X.509。
使用者可以同時透過多種機制進行身份驗證。但是,任何時候只能有一個密碼和一個 Kerberos 主體名稱有效。必須指定一種身份驗證機制才能允許使用者連線並使用資料庫例項。
它還提供定義使用者有效性的選項。您可以透過選擇日期來提及有效期間隔。有效期規範是可選的使用者引數。
SAP HANA 資料庫預設提供一些使用者:SYS、SYSTEM、_SYS_REPO、_SYS_STATISTICS。
完成此操作後,接下來是為使用者配置檔案定義許可權。
使用者配置檔案的許可權型別
可以向用戶配置檔案新增不同型別的許可權。
授予的角色
這用於將內建 sap.hana 角色新增到使用者配置檔案或新增在“角色”選項卡下建立的自定義角色。自定義角色允許您根據訪問需求定義角色,您可以將這些角色直接新增到使用者配置檔案。這樣無需每次為不同的訪問型別記住並向用戶配置檔案新增物件。
公共角色
這是一個通用角色,預設分配給所有資料庫使用者。此角色包含對系統檢視的只讀訪問許可權以及某些過程的執行許可權。這些角色不能被撤銷。
建模
它包含在 SAP HANA Studio 中使用資訊建模器所需的所有許可權。
系統許可權
可以向用戶配置檔案新增不同型別的系統許可權。要向用戶配置檔案新增系統許可權,請單擊“(+)”符號。
系統許可權用於備份/恢復、使用者管理、例項啟動和停止等。
內容管理員
它包含與 MODELING 角色中類似的許可權,但增加了允許此角色將這些許可權授予其他使用者的許可權。它還包含用於處理匯入物件的儲存庫許可權。
資料管理員
這是另一種許可權型別,需要從物件中向用戶配置檔案新增資料。
以下是一些常見的受支援系統許可權:
ATTACH DEBUGGER - 授權除錯由不同使用者呼叫的過程呼叫。此外,還需要相應過程的 DEBUG 許可權。
AUDIT ADMIN - 控制以下與審計相關的命令的執行:CREATE AUDIT POLICY、DROP AUDIT POLICY 和 ALTER AUDIT POLICY 以及審計配置的更改。還允許訪問 AUDIT_LOG 系統檢視。
AUDIT OPERATOR - 授權執行以下命令:ALTER SYSTEM CLEAR AUDIT LOG。還允許訪問 AUDIT_LOG 系統檢視。
BACKUP ADMIN - 授權 BACKUP 和 RECOVERY 命令,用於定義和啟動備份和恢復過程。
BACKUP OPERATOR - 授權 BACKUP 命令以啟動備份過程。
CATALOG READ - 授權使用者對所有系統檢視進行無過濾的只讀訪問。通常,這些檢視的內容會根據訪問使用者的許可權進行過濾。
CREATE SCHEMA - 授權使用 CREATE SCHEMA 命令建立資料庫模式。預設情況下,每個使用者擁有一個模式。使用此許可權,使用者可以建立其他模式。
CREATE STRUCTURED PRIVILEGE - 授權建立結構化許可權(分析許可權)。只有分析許可權的所有者才能進一步向其他使用者或角色授予或撤銷該許可權。
CREDENTIAL ADMIN - 授權憑據命令:CREATE/ALTER/DROP CREDENTIAL。
DATA ADMIN - 授權讀取系統檢視中的所有資料。它還允許在 SAP HANA 資料庫中執行任何資料定義語言 (DDL) 命令。擁有此許可權的使用者無法選擇或更改他們無權訪問資料的儲存表,但他們可以刪除表或修改表定義。
DATABASE ADMIN - 授權與多資料庫中的資料庫相關的所有命令,例如 CREATE、DROP、ALTER、RENAME、BACKUP、RECOVERY。
EXPORT - 透過 EXPORT TABLE 命令授權資料庫中的匯出活動。請注意,除了此許可權外,使用者還需要對要匯出的源表具有 SELECT 許可權。
IMPORT - 使用 IMPORT 命令授權資料庫中的匯入活動。請注意,除了此許可權外,使用者還需要對要匯入的目標表具有 INSERT 許可權。
INIFILE ADMIN - 授權更改系統設定。
LICENSE ADMIN - 授權 SET SYSTEM LICENSE 命令以安裝新許可證。
LOG ADMIN - 授權 ALTER SYSTEM LOGGING [ON|OFF] 命令以啟用或停用日誌重新整理機制。
MONITOR ADMIN - 授權用於 EVENT 的 ALTER SYSTEM 命令。
OPTIMIZER ADMIN - 授權與 SQL PLAN CACHE 和 ALTER SYSTEM UPDATE STATISTICS 命令相關的 ALTER SYSTEM 命令,這些命令會影響查詢最佳化器的行為。
資源管理員 (RESOURCE ADMIN) − 授權執行與系統資源相關的命令。例如,ALTER SYSTEM RECLAIM DATAVOLUME 和 ALTER SYSTEM RESET MONITORING VIEW。它還授權管理控制檯中提供的許多命令。
角色管理員 (ROLE ADMIN) − 授權使用 CREATE ROLE 和 DROP ROLE 命令建立和刪除角色。它還授權使用 GRANT 和 REVOKE 命令授予和撤銷角色。
已啟用的角色(其建立者是預定義使用者 _SYS_REPO)既不能授予其他角色或使用者,也不能直接刪除。擁有 ROLE ADMIN 許可權的使用者也無法執行此操作。請檢視有關已啟用物件的文件。
儲存點管理員 (SAVEPOINT ADMIN) − 授權使用 ALTER SYSTEM SAVEPOINT 命令執行儲存點程序。
SAP HANA 資料庫的元件可以建立新的系統許可權。這些許可權使用元件名稱作為系統許可權的第一個識別符號,使用元件許可權名稱作為第二個識別符號。
物件/SQL 許可權
物件許可權也稱為 SQL 許可權。這些許可權用於允許訪問物件,例如表、檢視或模式的 SELECT、INSERT、UPDATE 和 DELETE 操作。
以下是物件許可權的型別:
僅在執行時存在的資料庫物件的許可權。
對在儲存庫中建立的已啟用物件(例如計算檢視)的物件許可權。
對包含在儲存庫中建立的已啟用物件的模式的物件許可權。
物件/SQL 許可權是資料庫物件上所有 DDL 和 DML 許可權的集合。
以下是一些常用的物件許可權:
HANA 資料庫中有多個數據庫物件,因此並非所有許可權都適用於所有型別的資料庫物件。
物件許可權及其在資料庫物件上的適用性。
使用者配置檔案中的分析許可權
有時需要確保同一檢視中的資料不會被那些不需要該資料的其他使用者訪問。
分析許可權用於限制對 HANA 資訊檢視的物件級訪問。我們可以在分析許可權中應用行級和列級安全性。
分析許可權用於:
- 為特定值範圍分配行級和列級安全性
- 為建模檢視分配行級和列級安全性
包許可權
在 SAP HANA 儲存庫中,您可以為特定使用者或角色設定包授權。包許可權用於允許訪問資料模型 - 分析檢視或計算檢視或儲存庫物件。分配給儲存庫包的所有許可權也分配給所有子包。您還可以提及分配的使用者授權是否可以傳遞給其他使用者。
向用戶配置檔案新增包許可權的步驟:
步驟 1 − 在 HANA Studio 中的使用者建立下單擊“包許可權”選項卡 → 選擇“(+)”符號以新增一個或多個包。使用 Ctrl 鍵選擇多個包。
步驟 2 − 在“選擇儲存庫包”對話方塊中,使用包名稱的全部或部分來查詢要授權訪問的儲存庫包。
步驟 3 − 選擇一個或多個要授權訪問的儲存庫包,所選包將顯示在“包許可權”選項卡中。
以下授予許可權用於儲存庫包,以授權使用者修改物件:
REPO.READ − 讀取所選包和設計時物件(本機和匯入的)的訪問許可權
REPO.EDIT_NATIVE_OBJECTS − 授權修改包中的物件
可授予他人
如果為此選擇“是”,則允許將分配的使用者授權傳遞給其他使用者。
應用程式許可權
使用者配置檔案中的應用程式許可權用於定義對 HANA XS 應用程式的訪問授權。這可以分配給單個使用者或使用者組。應用程式許可權還可以用於向同一應用程式提供不同級別的訪問許可權,例如為資料庫管理員提供高階功能,為普通使用者提供只讀訪問許可權。
要在使用者配置檔案中定義特定於應用程式的許可權或新增使用者組,應使用以下許可權:
- 應用程式許可權檔案 (.xsprivileges)
- 應用程式訪問檔案 (.xsaccess)
- 角色定義檔案 (<RoleName>.hdbrole)