Administrateur SAP HANA - Provisionnement des utilisateurs

La configuration de la gestion des utilisateurs et des rôles SAP HANA dépend de l'architecture de votre système HANA. Si SAP HANA est intégré aux outils de la plateforme de BI et agit comme une base de données de reporting, l'utilisateur final et le rôle sont gérés dans le serveur d'applications.

Si l'utilisateur final se connecte directement à la base de données SAP HANA, alors l'utilisateur et le rôle dans la couche de base de données du système HANA sont requis pour les utilisateurs finaux et les administrateurs.

Chaque utilisateur qui souhaite travailler avec la base de données HANA doit disposer d'un utilisateur de base de données avec les privilèges nécessaires. L'utilisateur accédant au système HANA peut être un utilisateur technique ou un utilisateur final en fonction des besoins d'accès. Une fois la connexion réussie au système, l'autorisation de l'utilisateur à effectuer l'opération requise est vérifiée. L'exécution de cette opération dépend des privilèges accordés à l'utilisateur. Ces privilèges peuvent être accordés à l'aide de rôles dans HANA Security. HANA Studio est l'un des outils puissants pour gérer l'utilisateur et les rôles pour le système de base de données HANA.

Types d'utilisateurs

Les types d'utilisateurs varient en fonction des politiques de sécurité et des différents privilèges attribués au profil utilisateur. Le type d'utilisateur peut être un utilisateur de base de données technique ou un utilisateur final. L'utilisateur a besoin d'accéder au système HANA pour signaler l'objectif ou pour la manipulation des données.

Utilisateurs standard

Les utilisateurs standard sont les utilisateurs qui peuvent créer des objets dans leurs propres schémas et avoir un accès en lecture dans les modèles d'information du système. L'accès en lecture est fourni par le rôle PUBLIC, qui est attribué à chaque utilisateur standard.

Utilisateurs restreints

Les utilisateurs restreints sont les utilisateurs qui accèdent au système HANA avec certaines applications et qui ne disposent pas de privilèges SQL sur le système HANA. Lorsque ces utilisateurs sont créés, ils n'ont aucun accès au départ.

Si nous comparons les utilisateurs restreints avec les utilisateurs standard -

  • Les utilisateurs restreints ne peuvent pas créer d'objets dans la base de données HANA ou dans leurs propres schémas.

  • Ils n'ont pas accès pour afficher les données de la base de données car ils n'ont pas de rôle Public générique ajouté au profil comme les utilisateurs standard.

  • Ils peuvent se connecter à la base de données HANA uniquement via HTTP / HTTPS.

Administration des utilisateurs HANA et gestion des rôles

Les utilisateurs de la base de données technique ne sont utilisés qu'à des fins administratives telles que la création de nouveaux objets dans la base de données, l'attribution de privilèges à d'autres utilisateurs, sur des packages, des applications, etc.

Activités d'administration des utilisateurs SAP HANA

En fonction des besoins de l'entreprise et de la configuration du système HANA, différentes activités utilisateur peuvent être effectuées à l'aide d'outils d'administration des utilisateurs tels que le studio HANA.

Les activités les plus courantes comprennent -

  • Créer des utilisateurs
  • Attribuer des rôles aux utilisateurs
  • Définir et créer des rôles
  • Supprimer des utilisateurs
  • Réinitialiser les mots de passe des utilisateurs
  • Réactiver les utilisateurs après trop de tentatives de connexion infructueuses
  • Désactiver les utilisateurs lorsque cela est nécessaire

Créer des utilisateurs dans HANA Studio

Seuls les utilisateurs de base de données disposant du privilège système ROLE ADMIN sont autorisés à créer des utilisateurs et des rôles dans HANA Studio. Pour créer des utilisateurs et des rôles dans HANA Studio, accédez à la console Administrateur HANA. Vous verrez l'onglet de sécurité dans la vue Système.

Lorsque vous développez l'onglet de sécurité, il donne une option d'utilisateur et de rôles. Pour créer un nouvel utilisateur, cliquez avec le bouton droit sur l'utilisateur et accédez à Nouvel utilisateur. Une nouvelle fenêtre s'ouvre dans laquelle vous définissez les paramètres utilisateur et utilisateur.

Entrez le nom d'utilisateur (mandat) et dans le champ Authentification entrez le mot de passe. Le mot de passe est appliqué lors de l'enregistrement du mot de passe pour un nouvel utilisateur. Vous pouvez également choisir de créer un utilisateur restreint.

Le nom de rôle spécifié ne doit pas être identique au nom d'un utilisateur ou d'un rôle existant. Les règles de mot de passe incluent une longueur de mot de passe minimale et une définition des types de caractères (inférieur, supérieur, chiffre, caractères spéciaux) qui doivent faire partie du mot de passe.

Différentes méthodes d'autorisation peuvent être configurées telles que SAML, certificats X509, ticket de connexion SAP, etc. Les utilisateurs de la base de données peuvent être authentifiés par différents mécanismes -

  • Mécanisme d'authentification interne à l'aide d'un mot de passe.

  • Des mécanismes externes tels que Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket ou X.509.

  • Un utilisateur peut être authentifié par plus d'un mécanisme à la fois. Cependant, un seul mot de passe et un seul nom principal pour Kerberos peuvent être valides à la fois. Un mécanisme d'authentification doit être spécifié pour permettre à l'utilisateur de se connecter et de travailler avec l'instance de base de données.

Il donne également une option pour définir la validité de l'utilisateur. Vous pouvez mentionner l'intervalle de validité en sélectionnant les dates. La spécification de validité est un paramètre utilisateur facultatif.

Certains utilisateurs sont livrés par défaut avec la base de données SAP HANA: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Une fois que cela est fait, il faut ensuite définir les privilèges pour le profil utilisateur.

Types de privilèges sur le profil utilisateur

Il existe différents types de privilèges qui peuvent être ajoutés au profil utilisateur.

Rôle accordé

Ceci est utilisé pour ajouter des rôles sap.hana intégrés au profil utilisateur ou pour ajouter des rôles personnalisés créés sous l'onglet Rôles. Les rôles personnalisés vous permettent de définir des rôles selon les exigences d'accès et vous pouvez ajouter ces rôles directement au profil utilisateur. Cela élimine le besoin de se souvenir et d'ajouter des objets à un profil utilisateur à chaque fois pour différents types d'accès.

Rôle public

Il s'agit d'un rôle générique attribué par défaut à tous les utilisateurs de la base de données. Ce rôle contient un accès en lecture seule aux vues système et des privilèges d'exécution pour certaines procédures. Ces rôles ne peuvent pas être révoqués.

La modélisation

Il contient tous les privilèges requis pour utiliser le modeleur d'informations dans le studio SAP HANA.

Privilèges système

Il existe différents types de privilèges système qui peuvent être ajoutés à un profil utilisateur. Pour ajouter des privilèges système à un profil utilisateur, cliquez sur le signe (+).

Les privilèges système sont utilisés pour la sauvegarde / restauration, l'administration des utilisateurs, le démarrage et l'arrêt de l'instance, etc.

Administrateur de contenu

Il contient les privilèges similaires à ceux du rôle MODELING, mais avec l'ajout que ce rôle est autorisé à accorder ces privilèges à d'autres utilisateurs. Il contient également les privilèges du référentiel pour travailler avec les objets importés.

Administrateur de données

Il s'agit d'un autre type de privilège requis pour ajouter des données à partir des objets au profil utilisateur.

Voici quelques privilèges système courants pris en charge -

ATTACH DEBUGGER- Autorise le débogage d'un appel de procédure, appelé par un autre utilisateur. En outre, le privilège DEBUG pour la procédure correspondante est nécessaire.

AUDIT ADMIN- Contrôle l'exécution des commandes suivantes liées à l'audit: CREATE AUDIT POLICY, DROP AUDIT POLICY et ALTER AUDIT POLICY et les modifications de la configuration d'audit. Permet également d'accéder à la vue système AUDIT_LOG.

AUDIT OPERATOR- Autorise l'exécution de la commande suivante: ALTER SYSTEM CLEAR AUDIT LOG. Permet également d'accéder à la vue système AUDIT_LOG.

BACKUP ADMIN - Autorise les commandes BACKUP et RECOVERY pour définir et lancer les procédures de sauvegarde et de restauration.

BACKUP OPERATOR - Autorise la commande BACKUP à lancer un processus de sauvegarde.

CATALOG READ- Autorise les utilisateurs à avoir un accès en lecture seule non filtré à toutes les vues système. Normalement, le contenu de ces vues est filtré en fonction des privilèges de l'utilisateur accédant.

CREATE SCHEMA- Autorise la création de schémas de base de données à l'aide de la commande CREATE SCHEMA. Par défaut, chaque utilisateur possède un schéma. Avec ce privilège, l'utilisateur est autorisé à créer des schémas supplémentaires.

CREATE STRUCTURED PRIVILEGE- Autorise la création de privilèges structurés (privilèges analytiques). Seul le propriétaire d'un privilège d'analyse peut accorder ou révoquer ce privilège à d'autres utilisateurs ou rôles.

CREDENTIAL ADMIN - Autorise les commandes d'identification: CREATE / ALTER / DROP CREDENTIAL.

DATA ADMIN- Autorise la lecture de toutes les données dans les vues système. Il permet également l'exécution de toutes les commandes DDL (Data Definition Language) dans la base de données SAP HANA. Un utilisateur disposant de ce privilège ne peut pas sélectionner ou modifier les tables stockées de données pour lesquelles il ne dispose pas de privilèges d'accès, mais il peut supprimer des tables ou modifier les définitions de table.

DATABASE ADMIN - Autorise toutes les commandes liées aux bases de données dans une multi-base de données, telles que CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.

EXPORT- Autorise l'activité d'exportation dans la base de données via la commande EXPORT TABLE. Notez qu'en plus de ce privilège, l'utilisateur a besoin du privilège SELECT sur les tables source à exporter.

IMPORT- Autorise l'activité d'importation dans la base de données à l'aide des commandes IMPORT. Notez qu'en plus de ce privilège, l'utilisateur a besoin du privilège INSERT sur les tables cibles à importer.

INIFILE ADMIN - Autorise la modification des paramètres système.

LICENSE ADMIN - Autorise la commande SET SYSTEM LICENSE à installer une nouvelle licence.

LOG ADMIN - Autorise les commandes ALTER SYSTEM LOGGING [ON | OFF] pour activer ou désactiver le mécanisme de vidage du journal.

MONITOR ADMIN - Autorise les commandes ALTER SYSTEM pour les EVENEMENTS.

OPTIMIZER ADMIN - Autorise les commandes ALTER SYSTEM concernant les commandes SQL PLAN CACHE et ALTER SYSTEM UPDATE STATISTICS, qui influencent le comportement de l'optimiseur de requêtes.

RESOURCE ADMIN- Autorise les commandes concernant les ressources système. Par exemple, ALTER SYSTEM RECLAIM DATAVOLUME et ALTER SYSTEM RESET MONITORING VIEW. Il autorise également de nombreuses commandes disponibles dans la console de gestion.

ROLE ADMIN- Autorise la création et la suppression de rôles à l'aide des commandes CREATE ROLE et DROP ROLE. Il autorise également l'octroi et la révocation de rôles à l'aide des commandes GRANT et REVOKE.

Les rôles activés, c'est-à-dire les rôles dont le créateur est l'utilisateur prédéfini _SYS_REPO, ne peuvent être ni attribués à d'autres rôles ou utilisateurs, ni supprimés directement. Les utilisateurs disposant du privilège ROLE ADMIN ne peuvent pas non plus le faire. Veuillez consulter la documentation concernant les objets activés.

SAVEPOINT ADMIN - Autorise l'exécution d'un processus de point de sauvegarde à l'aide de la commande ALTER SYSTEM SAVEPOINT.

Les composants de la base de données SAP HANA peuvent créer de nouveaux privilèges système. Ces privilèges utilisent le nom du composant comme premier identifiant du privilège système et le nom du privilège du composant comme deuxième identifiant.

Privilèges objet / SQL

Les privilèges d'objet sont également appelés privilèges SQL. Ces privilèges sont utilisés pour autoriser l'accès à des objets tels que Sélectionner, Insérer, Mettre à jour et Supprimer des tables, des vues ou des schémas.

Voici les types de privilèges d'objet -

  • Privilège d'objet sur les objets de base de données qui n'existent qu'au moment de l'exécution.

  • Privilège d'objet sur les objets activés créés dans le référentiel, tels que les vues de calcul.

  • Privilège d'objet sur le schéma contenant des objets activés créés dans le référentiel.

  • Les privilèges objet / SQL regroupent tous les privilèges DDL et DML sur les objets de base de données.

Voici quelques privilèges d'objet couramment pris en charge -

Il existe plusieurs objets de base de données dans la base de données HANA, de sorte que tous les privilèges ne sont pas applicables à tous les types d'objets de base de données.

Privilèges d'objet et leur applicabilité sur les objets de base de données.

Privilèges analytiques dans le profil utilisateur

Parfois, il est nécessaire que les données de la même vue ne soient pas accessibles à d'autres utilisateurs qui n'ont aucune exigence pertinente pour ces données.

Les privilèges analytiques sont utilisés pour limiter l'accès aux vues d'informations HANA au niveau de l'objet. Nous pouvons appliquer la sécurité au niveau des lignes et des colonnes dans les privilèges analytiques.

Les privilèges analytiques sont utilisés pour -

  • Attribution de la sécurité au niveau des lignes et des colonnes pour une plage de valeurs spécifique
  • Attribution de la sécurité au niveau des lignes et des colonnes pour la modélisation des vues

Privilèges du package

Dans le référentiel SAP HANA, vous pouvez définir les autorisations de package pour un utilisateur spécifique ou pour un rôle. Les privilèges de package sont utilisés pour autoriser l'accès aux modèles de données - vues analytiques ou de calcul ou aux objets du référentiel. Tous les privilèges attribués à un package de référentiel sont également attribués à tous les sous-packages. Vous pouvez également indiquer si les autorisations utilisateur attribuées peuvent être transmises à d'autres utilisateurs.

Étapes pour ajouter des privilèges de package au profil utilisateur -

  • Step 1- Cliquez sur l'onglet Privilège du package dans le studio HANA sous Création d'utilisateur → Choisissez le signe (+) pour ajouter un ou plusieurs packages. Utilisez la touche Ctrl pour sélectionner plusieurs packages.

  • Step 2 - Dans la boîte de dialogue Sélectionner un package de référentiel, utilisez tout ou partie du nom du package pour localiser le package de référentiel auquel vous souhaitez autoriser l'accès.

  • Step 3 - Sélectionnez un ou plusieurs packages de référentiel auxquels vous souhaitez autoriser l'accès, les packages sélectionnés apparaissent dans l'onglet Privilèges du package.

Les privilèges d'octroi suivants sont utilisés sur les packages de référentiel pour autoriser l'utilisateur à modifier les objets -

  • REPO.READ - Accès en lecture au package sélectionné et aux objets au moment du design (natifs et importés)

  • REPO.EDIT_NATIVE_OBJECTS - Autorisation de modifier des objets dans des packages

  • Grantable to Others

Si vous choisissez «Oui» pour cela, cela permet à l'autorisation utilisateur attribuée d'être transmise aux autres utilisateurs.

Privilèges d'application

Privilèges d'application dans un profil utilisateur utilisé pour définir l'autorisation d'accès à l'application HANA XS. Cela peut être attribué à un utilisateur individuel ou à un groupe d'utilisateurs. Les privilèges d'application peuvent également être utilisés pour fournir différents niveaux d'accès à la même application, par exemple pour fournir des fonctions avancées aux administrateurs de base de données et un accès en lecture seule aux utilisateurs normaux.

Pour définir des privilèges spécifiques à une application dans un profil utilisateur ou pour ajouter un groupe d'utilisateurs, les privilèges suivants doivent être utilisés:

  • Fichier de privilèges d'application (.xsprivileges)
  • Fichier d'accès aux applications (.xsaccess)
  • Fichier de définition de rôle (<RoleName> .hdbrole)