SAP HANA用户和角色管理配置取决于HANA系统的体系结构.如果SAP HANA与BI平台工具集成并充当报告数据库,则最终用户和角色在应用程序服务器中进行管理.
如果最终用户直接连接到SAP HANA数据库,然后最终用户和管理员都需要HANA系统的数据库层中的用户和角色.
每个想要使用HANA数据库的用户都必须拥有一个数据库用户必要的特权.访问HANA系统的用户可以是技术用户,也可以是最终用户,具体取决于访问要求.成功登录系统后,将验证用户执行所需操作的权限.执行该操作取决于已授予用户的权限.可以使用HANA安全性中的角色授予这些权限. HANA Studio是管理用户和HANA数据库系统角色的强大工具之一.
用户类型因人而异安全策略和分配给用户配置文件的不同权限.用户类型可以是技术数据库用户或最终用户.用户需要访问HANA系统以报告目的或数据操作.
标准用户是可以创建对象的用户他们自己的Schema并在系统信息模型中具有Read访问权限.读取访问权限由PUBLIC角色提供,该角色分配给每个标准用户.
受限用户是那些使用某些应用程序访问HANA系统且他们在HANA系统上没有SQL权限的用户.创建这些用户后,他们最初没有任何访问权限.
如果我们将受限制的用户与标准用户进行比较去;
受限制的用户无法在HANA数据库或他们自己的架构中创建对象.
他们无法访问查看数据库中的任何数据,因为它们没有像标准用户那样添加到配置文件的通用公共角色.
他们只能使用HTTP连接到HANA数据库/HTTPS.
技术数据库用户仅用于管理目的,例如在数据库中创建新对象,为其他用户,包,应用程序等分配权限.
根据业务需求和HANA系统的配置,可以使用HAN等用户管理工具执行不同的用户活动工作室.
最常见的活动包括 :
创建用户
向用户授予角色
定义和创建角色
删除用户
重置用户密码
在登录失败次数过多后重新激活用户
在需要时停用用户
只允许具有系统权限ROLE ADMIN的数据库用户在HANA Studio中创建用户和角色.要在HANA Studio中创建用户和角色,请转至HANA管理员控制台.您将在系统视图中看到安全选项卡.
展开安全选项卡时,它会提供用户和角色选项.要创建新用户,请右键单击"用户",然后转到"新用户".将打开一个新窗口,您可以在其中定义用户和用户参数.
输入用户名(授权),然后在"身份验证"字段中输入密码.在为新用户保存密码时应用密码.您还可以选择创建受限用户.
指定的角色名称不得与现有用户或角色的名称相同.密码规则包括最小密码长度以及哪些字符类型(下,上,数字,特殊字符)必须是密码的一部分的定义.
可以配置不同的授权方法,例如SAML,X509证书,SAP Logon票证等.数据库中的用户可以通过变化进行身份验证机制去;
使用密码的内部认证机制.
Kerberos,SAML,SAP Logon Ticket,SAP Assertion Ticket或X.509等外部机制.
用户可以通过以下方式进行身份验证一次一个机制.但是,Kerberos只有一个密码和一个主要名称可以在任何时候有效.必须指定一种身份验证机制,以允许用户连接并使用数据库实例.
它还提供了一个定义选项用户的有效性.您可以通过选择日期来提及有效性间隔.有效性规范是可选的用户参数.
默认情况下,有些用户随SAP HANA数据库一起提供:SYS,SYSTEM,_SYS_REPO,_SYS_STATISTICS.
完成此操作后,接下来将定义用户个人资料的权限.
有不同的可以添加到用户配置文件的权限类型.
这用于将内置的sap.hana角色添加到用户配置文件或添加在"角色"选项卡下创建的自定义角色.自定义角色允许您根据访问要求定义角色,您可以将这些角色直接添加到用户配置文件.这样就无需每次为不同的访问类型记住和添加对象到用户配置文件.
这是一个通用角色,默认情况下分配给所有数据库用户.此角色包含对系统视图的只读访问权限以及某些过程的执行权限.这些角色无法撤销.
它包含在SAP HANA工作室中使用信息建模器所需的所有权限.
可以添加到用户配置文件的不同类型的系统特权.要向用户配置文件添加系统权限,请单击(+)符号.
系统权限用于备份/还原,用户管理,实例启动和停止等.
它包含与MODELING角色类似的权限,但允许此角色将这些权限授予其他用户.它还包含使用导入对象的存储库权限.
这是将数据从对象添加到用户配置文件所需的另一种类型的权限.
以下是一些常见的支持系统权限 :
ATTACH DEBUGGER : 授权调试由其他用户调用的过程调用.此外,还需要相应程序的DEBUG权限.
AUDIT ADMIN : 控制以下与审计相关的命令的执行:CREATE AUDIT POLICY,DROP AUDIT POLICY和ALTER AUDIT POLICY以及审计配置的更改.还允许访问AUDIT_LOG系统视图.
审核操作员 : 授权执行以下命令:ALTER SYSTEM CLEAR AUDIT LOG.还允许访问AUDIT_LOG系统视图.
BACKUP ADMIN : 授权BACKUP和RECOVERY命令,用于定义和启动备份和恢复过程.
备份操作员 : 授权BACKUP命令启动备份过程.
CATALOG READ : 授权用户对所有系统视图进行未经过滤的只读访问.通常,这些视图的内容会根据访问用户的权限进行过滤.
CREATE SCHEMA : 使用CREATE SCHEMA命令授权创建数据库模式.默认情况下,每个用户拥有一个架构.使用此权限,用户可以创建其他模式.
创建结构化特权 : 授权创建结构化权限(Analytical Privileges).只有Analytical Privilege的所有者才能进一步授予或撤销该权限给其他用户或角色.
CREDENTIAL ADMIN : 授权凭证命令:CREATE/ALTER/DROP CREDENTIAL.
DATA ADMIN : 授权读取系统视图中的所有数据.它还允许在SAP HANA数据库中执行任何数据定义语言(DDL)命令.拥有此权限的用户无法选择或更改他们没有访问权限的数据存储表,但他们可以删除表或修改表定义.
DATABASE ADMIN : 授权与多数据库中的数据库相关的所有命令,例如CREATE,DROP,ALTER,RENAME,BACKUP,RECOVERY.
EXPORT : 通过EXPORT TABLE命令授权数据库中的导出活动.请注意,除了此权限之外,用户还需要对源表的SELECT权限进行导出.
IMPORT : 使用IMPORT命令授权数据库中的导入活动.请注意,除了此权限之外,用户还需要导入目标表的INSERT权限.
INIFILE ADMIN : 授权更改系统设置.
LICENSE ADMIN : 授权SET SYSTEM LICENSE命令安装新许可证.
LOG ADMIN : 授权ALTER SYSTEM LOGGING [ON | OFF]命令启用或禁用日志刷新机制.
MONITOR ADMIN : 为EVENT授权ALTER SYSTEM命令.
OPTIMIZER ADMIN : 授权有关SQL PLAN CACHE和ALTER SYSTEM UPDATE STATISTICS命令的ALTER SYSTEM命令,这些命令会影响查询优化器的行为.
RESOURCE ADMIN : 授权有关系统资源的命令.例如,ALTER SYSTEM RECLAIM DATAVOLUME和ALTER SYSTEM RESET MONITORING VIEW.它还授权管理控制台中提供的许多命令.
ROLE ADMIN : 使用CREATE ROLE和DROP ROLE命令授权创建和删除角色.它还授权使用GRANT和REVOKE命令授予和撤销角色.
激活的角色,即创建者是预定义用户_SYS_REPO的角色,既不能授予其他角色,也不能授予其他角色.用户也没有直接掉线.具有ROLE ADMIN权限的用户也无法执行此操作.请检查有关激活对象的文档.
SAVEPOINT ADMIN : 使用ALTER SYSTEM SAVEPOINT命令授权执行保存点进程.
SAP HANA数据库的组件可以创建新的系统特权.这些权限使用component-name作为系统权限的第一个标识符,componentprivilege-name作为第二个标识符.
对象权限也称为SQL权限.这些权限用于允许访问诸如选择,插入,更新和删除表,视图或模式之类的对象.
以下是对象权限的类型 :
仅存在于运行时的数据库对象的对象特权.
对存储库中创建的激活对象的对象特权,例如计算视图.
包含在存储库中创建的激活对象的模式的对象特权.
对象/SQL特权是所有的集合数据库对象的DDL和DML权限.
以下是一些常用的对象权限 :
HANA数据库中有多个数据库对象,因此并非所有权限都适用于所有类型的数据库对象.
对象权限及其对数据库对象的适用性.
有时需要同一视图中的数据不应该对该数据没有任何相关要求的其他用户可以访问.
分析权限用于限制对象级别的HANA信息视图的访问权限.我们可以在分析权限中应用行级和列级安全性.
分析权限用于 :
为特定值范围分配行级和列级安全性
为建模视图分配行级和列级安全性
在SAP HANA中在存储库中,您可以为特定用户或角色设置包授权.包权限用于允许访问数据模型 - 分析或计算视图或存储库对象.分配给存储库包的所有权限也分配给所有子包.您还可以提及是否可以将分配的用户授权传递给其他用户.
将包权限添加到用户配置文件的步骤 :
第1步 : 单击用户创建&rarr下的HANA工作室中的包权限选项卡;选择(+)符号以添加一个或多个包.使用Ctrl键选择多个包.
步骤2 : 在"选择存储库包"对话框中,使用全部或部分包名来查找要授权访问的存储库包.
步骤3 : 选择一个或多个要授权访问的存储库包,所选包显示在"包权限"选项卡中.
以下授予权限用于存储库包以授权用户修改对象 :
REPO.READ : 对所选包和设计时对象(本机和导入对象)的读访问权
REPO.EDIT_NATIVE_OBJECTS : 授权修改包中的对象
可授予他人
如果为此选择"是",则允许分配的用户授权传递给其他用户.
用户配置文件中的应用程序权限,用于定义访问HANA XS应用程序的授权.这可以分配给单个用户或一组用户.应用程序权限还可用于提供对同一应用程序的不同级别的访问,例如为数据库管理员提供高级功能以及对普通用户的只读访问.
要在用户配置文件中定义应用程序特定权限或添加一组用户,应使用以下权限 :
应用程序权限文件(.xsprivileges)
应用程序访问文件(.xsaccess)
角色定义文件(< RoleName> .hdbrole)
