Administration des utilisateurs et gestion des rôles

Les utilisateurs de la base de données technique ne sont utilisés qu'à des fins administratives telles que la création de nouveaux objets dans la base de données, l'attribution de privilèges à d'autres utilisateurs, sur les packages, les applications, etc.

Activités d'administration des utilisateurs SAP HANA

En fonction des besoins de l'entreprise et de la configuration du système HANA, différentes activités utilisateur peuvent être effectuées à l'aide d'un outil d'administration des utilisateurs tel que le studio HANA.

Les activités les plus courantes comprennent -

  • Créer des utilisateurs
  • Attribuer des rôles aux utilisateurs
  • Définir et créer des rôles
  • Supprimer des utilisateurs
  • Réinitialiser les mots de passe des utilisateurs
  • Réactivation des utilisateurs après un trop grand nombre de tentatives de connexion infructueuses
  • Désactiver les utilisateurs lorsque cela est nécessaire

Comment créer des utilisateurs dans HANA Studio?

Seuls les utilisateurs de base de données disposant du privilège système ROLE ADMIN sont autorisés à créer des utilisateurs et des rôles dans HANA Studio. Pour créer des utilisateurs et des rôles dans le studio HANA, accédez à la console administrateur HANA. Vous verrez l'onglet de sécurité dans la vue Système -

Lorsque vous développez l'onglet de sécurité, il donne l'option de l'utilisateur et des rôles. Pour créer un nouvel utilisateur, faites un clic droit sur Utilisateur et allez dans Nouvel utilisateur. Une nouvelle fenêtre s'ouvre dans laquelle vous définissez les paramètres utilisateur et utilisateur.

Entrez le nom d'utilisateur (mandat) et dans le champ Authentification entrez le mot de passe. Le mot de passe est appliqué, lors de l'enregistrement du mot de passe pour un nouvel utilisateur. Vous pouvez également choisir de créer un utilisateur restreint.

Le nom de rôle spécifié ne doit pas être identique au nom d'un utilisateur ou d'un rôle existant. Les règles de mot de passe incluent une longueur de mot de passe minimale et une définition des types de caractères (inférieur, supérieur, chiffre, caractères spéciaux) qui doivent faire partie du mot de passe.

Différentes méthodes d'autorisation peuvent être configurées comme les certificats SAML, X509, le ticket SAP Logon, etc. Les utilisateurs de la base de données peuvent être authentifiés par différents mécanismes -

Mécanisme d'authentification interne à l'aide d'un mot de passe.

Des mécanismes externes tels que Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket ou X.509.

Un utilisateur peut être authentifié par plus d'un mécanisme à la fois. Cependant, un seul mot de passe et un seul nom principal pour Kerberos peuvent être valides à la fois. Un mécanisme d'authentification doit être spécifié pour permettre à l'utilisateur de se connecter et de travailler avec l'instance de base de données.

Il donne également une option pour définir la validité de l'utilisateur, vous pouvez mentionner l'intervalle de validité en sélectionnant les dates. La spécification de validité est un paramètre utilisateur facultatif.

Certains utilisateurs fournis par défaut avec la base de données SAP HANA sont: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Une fois cela fait, l'étape suivante consiste à définir les privilèges du profil utilisateur. Il existe différents types de privilèges qui peuvent être ajoutés à un profil utilisateur.

Rôles accordés à un utilisateur

Ceci est utilisé pour ajouter des rôles SAP.HANA intégrés au profil utilisateur ou pour ajouter des rôles personnalisés créés sous l'onglet Rôles. Les rôles personnalisés vous permettent de définir des rôles selon les exigences d'accès et vous pouvez ajouter ces rôles directement au profil utilisateur. Cela supprime le besoin de se souvenir et d'ajouter des objets à un profil utilisateur à chaque fois pour différents types d'accès.

PUBLIC- Il s'agit d'un rôle générique attribué par défaut à tous les utilisateurs de la base de données. Ce rôle contient un accès en lecture seule aux vues système et des privilèges d'exécution pour certaines procédures. Ces rôles ne peuvent pas être révoqués.

La modélisation

Il contient tous les privilèges requis pour utiliser le modeleur d'informations dans le studio SAP HANA.

Privilèges système

Il existe différents types de privilèges système qui peuvent être ajoutés à un profil utilisateur. Pour ajouter des privilèges système à un profil utilisateur, cliquez sur + signe.

Les privilèges système sont utilisés pour la sauvegarde / restauration, l'administration des utilisateurs, le démarrage et l'arrêt de l'instance, etc.

Administrateur de contenu

Il contient les privilèges similaires à ceux du rôle MODELING, mais avec l'ajout que ce rôle est autorisé à accorder ces privilèges à d'autres utilisateurs. Il contient également les privilèges du référentiel pour travailler avec les objets importés.

Administrateur de données

Il s'agit d'un type de privilège, requis pour ajouter des données à partir d'objets au profil utilisateur.

Vous trouverez ci-dessous les privilèges système courants pris en charge -

Joindre le débogueur

Il autorise le débogage d'un appel de procédure, appelé par un autre utilisateur. En outre, le privilège DEBUG pour la procédure correspondante est nécessaire.

Administrateur d'audit

Contrôle l'exécution des commandes suivantes liées à l'audit - CREATE AUDIT POLICY, DROP AUDIT POLICY et ALTER AUDIT POLICY et les modifications de la configuration d'audit. Permet également d'accéder à la vue système AUDIT_LOG.

Opérateur d'audit

Il autorise l'exécution de la commande suivante - ALTER SYSTEM CLEAR AUDIT LOG. Permet également d'accéder à la vue système AUDIT_LOG.

Administrateur de sauvegarde

Il autorise les commandes BACKUP et RECOVERY pour définir et lancer les procédures de sauvegarde et de restauration.

Opérateur de sauvegarde

Il autorise la commande BACKUP à lancer un processus de sauvegarde.

Lire le catalogue

Il autorise les utilisateurs à avoir un accès en lecture seule non filtré à toutes les vues système. Normalement, le contenu de ces vues est filtré en fonction des privilèges de l'utilisateur accédant.

Créer un schéma

Il autorise la création de schémas de base de données à l'aide de la commande CREATE SCHEMA. Par défaut, chaque utilisateur possède un schéma, avec ce privilège, l'utilisateur est autorisé à créer des schémas supplémentaires.

CRÉER UN PRIVILÈGE STRUCTURÉ

Il autorise la création de privilèges structurés (privilèges analytiques). Seul le propriétaire d'un privilège d'analyse peut accorder ou révoquer ce privilège à d'autres utilisateurs ou rôles.

Administrateur des informations d'identification

Il autorise les commandes d'identification - CREATE / ALTER / DROP CREDENTIAL.

Administrateur de données

Il autorise la lecture de toutes les données des vues système. Il permet également l'exécution de toutes les commandes DDL (Data Definition Language) dans la base de données SAP HANA

Un utilisateur disposant de ce privilège ne peut pas sélectionner ou modifier les tables stockées de données pour lesquelles il ne dispose pas de privilèges d'accès, mais il peut supprimer des tables ou modifier les définitions de table.

Administrateur de base de données

Il autorise toutes les commandes liées aux bases de données dans une multi-base de données, telles que CREATE, DROP, ALTER, RENAME, BACKUP, RECOVERY.

Exportation

Il autorise l'activité d'exportation dans la base de données via la commande EXPORT TABLE.

Notez qu'en plus de ce privilège, l'utilisateur a besoin du privilège SELECT sur les tables source à exporter.

Importer

Il autorise l'activité d'importation dans la base de données à l'aide des commandes IMPORT.

Notez qu'en plus de ce privilège, l'utilisateur a besoin du privilège INSERT sur les tables cibles à importer.

Administrateur Inifile

Il autorise la modification des paramètres système.

Administrateur de licence

Il autorise la commande SET SYSTEM LICENSE à installer une nouvelle licence.

Administrateur du journal

Il autorise les commandes ALTER SYSTEM LOGGING [ON | OFF] pour activer ou désactiver le mécanisme de vidage du journal.

Administrateur de surveillance

Il autorise les commandes ALTER SYSTEM pour les EVENEMENTS.

Administrateur de l'optimiseur

Il autorise les commandes ALTER SYSTEM concernant les commandes SQL PLAN CACHE et ALTER SYSTEM UPDATE STATISTICS, qui influencent le comportement de l'optimiseur de requêtes.

Administrateur de ressources

Ce privilège autorise les commandes concernant les ressources système. Par exemple, ALTER SYSTEM RECLAIM DATAVOLUME et ALTER SYSTEM RESET MONITORING VIEW. Il autorise également de nombreuses commandes disponibles dans la console de gestion.

Administrateur de rôle

Ce privilège autorise la création et la suppression de rôles à l'aide des commandes CREATE ROLE et DROP ROLE. Il autorise également l'octroi et la révocation de rôles à l'aide des commandes GRANT et REVOKE.

Les rôles activés, c'est-à-dire les rôles dont le créateur est l'utilisateur prédéfini _SYS_REPO, ne peuvent être ni attribués à d'autres rôles ou utilisateurs, ni supprimés directement. Même les utilisateurs disposant du privilège ROLE ADMIN ne peuvent pas le faire. Veuillez consulter la documentation concernant les objets activés.

Administrateur Savepoint

Il autorise l'exécution d'un processus de point de sauvegarde à l'aide de la commande ALTER SYSTEM SAVEPOINT.

Les composants de la base de données SAP HANA peuvent créer de nouveaux privilèges système. Ces privilèges utilisent le nom du composant comme premier identifiant du privilège système et le nom du privilège du composant comme deuxième identifiant.

Privilèges objet / SQL

Les privilèges d'objet sont également appelés privilèges SQL. Ces privilèges sont utilisés pour autoriser l'accès à des objets tels que Sélectionner, Insérer, Mettre à jour et Supprimer des tables, des vues ou des schémas.

Vous trouverez ci-dessous les types possibles de privilèges d'objet -

  • Privilège d'objet sur les objets de base de données qui n'existent qu'au moment de l'exécution

  • Privilège d'objet sur les objets activés créés dans le référentiel, comme les vues de calcul

  • Privilège d'objet sur le schéma contenant des objets activés créés dans le référentiel,

  • Les privilèges objet / SQL regroupent tous les privilèges DDL et DML sur les objets de base de données.

Vous trouverez ci-dessous les privilèges d'objets communs pris en charge -

Il existe plusieurs objets de base de données dans la base de données HANA, de sorte que tous les privilèges ne sont pas applicables à tous les types d'objets de base de données.

Privilèges d'objet et leur applicabilité sur les objets de base de données -

Privilèges analytiques

Parfois, il est nécessaire que les données dans la même vue ne soient pas accessibles à d'autres utilisateurs qui n'ont aucune exigence pertinente pour ces données.

Les privilèges analytiques sont utilisés pour limiter l'accès aux vues d'informations HANA au niveau de l'objet. Nous pouvons appliquer la sécurité au niveau des lignes et des colonnes dans les privilèges analytiques.

Les privilèges analytiques sont utilisés pour -

  • Attribution de la sécurité au niveau des lignes et des colonnes pour une plage de valeurs spécifique.
  • Attribution de la sécurité au niveau des lignes et des colonnes pour la modélisation des vues.

Privilèges du package

Dans le référentiel SAP HANA, vous pouvez définir les autorisations de package pour un utilisateur spécifique ou pour un rôle. Les privilèges de package sont utilisés pour autoriser l'accès aux modèles de données - vues analytiques ou de calcul ou aux objets du référentiel. Tous les privilèges attribués à un package de référentiel sont également attribués à tous les sous-packages. Vous pouvez également indiquer si les autorisations utilisateur attribuées peuvent être transmises à d'autres utilisateurs.

Étapes pour ajouter des privilèges de package au profil utilisateur -

  • Cliquez sur l'onglet Privilège du package dans le studio HANA sous Création d'utilisateur → Choisissez + pour ajouter un ou plusieurs packages. Utilisez la touche Ctrl pour sélectionner plusieurs packages.

  • Dans la boîte de dialogue Sélectionner un package de référentiel, utilisez tout ou partie du nom du package pour localiser le package de référentiel auquel vous souhaitez autoriser l'accès.

  • Sélectionnez un ou plusieurs packages de référentiel auxquels vous souhaitez autoriser l'accès, les packages sélectionnés apparaissent dans l'onglet Privilèges du package.

Vous trouverez ci-dessous des privilèges d'octroi, qui sont utilisés sur les packages de référentiel pour autoriser l'utilisateur à modifier les objets -

  • REPO.READ - Accès en lecture au package sélectionné et aux objets au moment du design (natifs et importés)

  • REPO.EDIT_NATIVE_OBJECTS - Autorisation de modifier des objets dans des packages.

  • Grantable to Others - Si vous choisissez «Oui» pour cela, cela permet à l'autorisation utilisateur attribuée d'être transmise aux autres utilisateurs.

Privilèges d'application

Les privilèges d'application dans un profil utilisateur sont utilisés pour définir l'autorisation d'accès à l'application HANA XS. Cela peut être attribué à un utilisateur individuel ou au groupe d'utilisateurs. Les privilèges d'application peuvent également être utilisés pour fournir différents niveaux d'accès à la même application, comme pour fournir des fonctions avancées aux administrateurs de bases de données et un accès en lecture seule aux utilisateurs normaux.

Pour définir des privilèges spécifiques à une application dans un profil utilisateur ou pour ajouter un groupe d'utilisateurs, les privilèges ci-dessous doivent être utilisés -

  • Fichier de privilèges d'application (.xsprivileges)
  • Fichier d'accès aux applications (.xsaccess)
  • Fichier de définition de rôle (<RoleName> .hdbrole)