Administrador de SAP HANA: aprovisionamiento de usuarios

La configuración de la gestión de roles y usuarios de SAP HANA depende de la arquitectura de su sistema HANA. Si SAP HANA está integrado con las herramientas de la plataforma de BI y actúa como una base de datos de informes, el usuario final y el rol se administran en el servidor de aplicaciones.

Si el usuario final se conecta directamente a la base de datos de SAP HANA, entonces el usuario y el rol en la capa de base de datos del sistema HANA son necesarios tanto para los usuarios finales como para los administradores.

Todo usuario que quiera trabajar con la base de datos HANA debe tener un usuario de base de datos con los privilegios necesarios. El usuario que accede al sistema HANA puede ser un usuario técnico o un usuario final, según los requisitos de acceso. Después de iniciar sesión correctamente en el sistema, se verifica la autorización del usuario para realizar la operación requerida. La ejecución de esa operación depende de los privilegios que se le hayan otorgado al usuario. Estos privilegios se pueden otorgar mediante roles en HANA Security. HANA Studio es una de las herramientas poderosas para administrar el usuario y los roles para el sistema de base de datos HANA.

Tipos de usuario

Los tipos de usuarios varían según las políticas de seguridad y los diferentes privilegios asignados al perfil de usuario. El tipo de usuario puede ser un usuario de base de datos técnica o un usuario final. El usuario necesita acceso al sistema HANA para informar el propósito o para la manipulación de datos.

Usuarios estándar

Los usuarios estándar son los usuarios que pueden crear objetos en sus propios esquemas y tienen acceso de lectura en los modelos de información del sistema. El acceso de lectura lo proporciona el rol PÚBLICO, que se asigna a cada usuario estándar.

Usuarios restringidos

Los usuarios restringidos son aquellos usuarios que acceden al sistema HANA con algunas aplicaciones y no tienen privilegios de SQL en el sistema HANA. Cuando se crean estos usuarios, inicialmente no tienen ningún acceso.

Si comparamos usuarios restringidos con usuarios estándar:

  • Los usuarios restringidos no pueden crear objetos en la base de datos HANA o en sus propios esquemas.

  • No tienen acceso para ver ningún dato en la base de datos, ya que no tienen un rol público genérico agregado al perfil como los usuarios estándar.

  • Pueden conectarse a la base de datos HANA solo mediante HTTP / HTTPS.

Administración de usuarios de HANA y gestión de roles

Los usuarios de bases de datos técnicas se utilizan solo con fines administrativos, como crear nuevos objetos en la base de datos, asignar privilegios a otros usuarios, en paquetes, aplicaciones, etc.

Actividades de administración de usuarios de SAP HANA

Dependiendo de las necesidades comerciales y la configuración del sistema HANA, existen diferentes actividades de usuario que se pueden realizar utilizando herramientas de administración de usuarios como HANA Studio.

Las actividades más comunes incluyen:

  • Crear usuarios
  • Otorgar roles a los usuarios
  • Definir y crear roles
  • Eliminar usuarios
  • Restablecer contraseñas de usuario
  • Reactivar usuarios después de demasiados intentos fallidos de inicio de sesión
  • Desactivar usuarios cuando sea necesario

Crear usuarios en HANA Studio

Solo los usuarios de la base de datos con el privilegio del sistema ROLE ADMIN pueden crear usuarios y roles en HANA Studio. Para crear usuarios y roles en HANA Studio, vaya a la Consola de administrador de HANA. Verá la pestaña de seguridad en la vista Sistema.

Cuando expande la pestaña de seguridad, ofrece una opción de Usuario y Roles. Para crear un nuevo usuario, haga clic con el botón derecho en el Usuario y vaya a Nuevo usuario. Se abrirá una nueva ventana en la que puede definir Usuario y parámetros de Usuario.

Ingrese el nombre de usuario (mandato) y en el campo Autenticación ingrese la contraseña. La contraseña se aplica mientras se guarda la contraseña para un nuevo usuario. También puede optar por crear un usuario restringido.

El nombre del rol especificado no debe ser idéntico al nombre de un usuario o rol existente. Las reglas de contraseña incluyen una longitud mínima de contraseña y una definición de qué tipos de caracteres (inferior, superior, dígitos, caracteres especiales) deben formar parte de la contraseña.

Se pueden configurar diferentes métodos de autorización como SAML, certificados X509, ticket de inicio de sesión de SAP, etc. Los usuarios de la base de datos pueden autenticarse mediante diversos mecanismos:

  • Mecanismo de autenticación interno mediante contraseña.

  • Mecanismos externos como Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket o X.509.

  • Un usuario puede ser autenticado por más de un mecanismo a la vez. Sin embargo, solo una contraseña y un nombre principal para Kerberos pueden ser válidos a la vez. Se debe especificar un mecanismo de autenticación para permitir al usuario conectarse y trabajar con la instancia de la base de datos.

También ofrece una opción para definir la validez del usuario. Puede mencionar el intervalo de validez seleccionando las fechas. La especificación de validez es un parámetro de usuario opcional.

Hay algunos usuarios que se entregan por defecto con la base de datos de SAP HANA: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.

Una vez hecho esto, lo siguiente es definir los privilegios para el perfil de usuario.

Tipos de privilegios para el perfil de usuario

Hay diferentes tipos de privilegios que se pueden agregar al perfil de usuario.

Rol concedido

Esto se usa para agregar roles sap.hana incorporados al perfil de usuario o para agregar roles personalizados creados en la pestaña Roles. Los roles personalizados le permiten definir roles según los requisitos de acceso y puede agregar estos roles directamente al perfil de usuario. Esto elimina la necesidad de recordar y agregar objetos a un perfil de usuario cada vez para diferentes tipos de acceso.

Rol público

Esta es una función genérica y se asigna a todos los usuarios de la base de datos de forma predeterminada. Este rol contiene acceso de solo lectura a las vistas del sistema y privilegios de ejecución para algunos procedimientos. Estos roles no se pueden revocar.

Modelado

Contiene todos los privilegios necesarios para usar el modelador de información en el estudio SAP HANA.

Privilegios del sistema

Hay diferentes tipos de privilegios del sistema que se pueden agregar a un perfil de usuario. Para agregar privilegios del sistema a un perfil de usuario, haga clic en el signo (+).

Los privilegios del sistema se utilizan para la copia de seguridad / restauración, la administración de usuarios, el inicio y la detención de la instancia, etc.

Administrador de contenido

Contiene privilegios similares a los del rol de MODELADO, pero con la adición de que este rol puede otorgar estos privilegios a otros usuarios. También contiene los privilegios de repositorio para trabajar con objetos importados.

Administrador de datos

Este es otro tipo de privilegio que se requiere para agregar datos de los objetos al perfil de usuario.

A continuación, se muestran algunos privilegios comunes del sistema admitidos:

ATTACH DEBUGGER- Autoriza la depuración de una llamada a procedimiento, llamada por un usuario diferente. Además, se necesita el privilegio DEBUG para el procedimiento correspondiente.

AUDIT ADMIN- Controla la ejecución de los siguientes comandos relacionados con la auditoría: CREATE AUDIT POLICY, DROP AUDIT POLICY y ALTER AUDIT POLICY y los cambios de la configuración de auditoría. También permite el acceso a la vista del sistema AUDIT_LOG.

AUDIT OPERATOR- Autoriza la ejecución del siguiente comando: ALTER SYSTEM CLEAR AUDIT LOG. También permite el acceso a la vista del sistema AUDIT_LOG.

BACKUP ADMIN - Autoriza los comandos BACKUP y RECOVERY para definir e iniciar procedimientos de backup y recuperación.

BACKUP OPERATOR - Autoriza al comando BACKUP para iniciar un proceso de copia de seguridad.

CATALOG READ- Autoriza a los usuarios a tener acceso de solo lectura sin filtrar a todas las vistas del sistema. Normalmente, el contenido de estas vistas se filtra en función de los privilegios del usuario que accede.

CREATE SCHEMA- Autoriza la creación de esquemas de base de datos mediante el comando CREATE SCHEMA. De forma predeterminada, cada usuario posee un esquema. Con este privilegio, el usuario puede crear esquemas adicionales.

CREATE STRUCTURED PRIVILEGE- Autoriza la creación de Privilegios Estructurados (Privilegios Analíticos). Solo el propietario de un privilegio analítico puede otorgar o revocar ese privilegio a otros usuarios o roles.

CREDENTIAL ADMIN - Autoriza los comandos de credenciales: CREATE / ALTER / DROP CREDENTIAL.

DATA ADMIN- Autoriza la lectura de todos los datos en las vistas del sistema. También permite la ejecución de cualquier comando de lenguaje de definición de datos (DDL) en la base de datos de SAP HANA. Un usuario que tenga este privilegio no puede seleccionar ni cambiar tablas de datos almacenadas para las que no tiene privilegios de acceso, pero puede eliminar tablas o modificar las definiciones de tablas.

DATABASE ADMIN - Autoriza todos los comandos relacionados con las bases de datos en una base de datos múltiple, como CREAR, DROP, ALTER, RENAME, BACKUP, RECOVERY.

EXPORT- Autoriza la actividad de exportación en la base de datos mediante el comando EXPORT TABLE. Tenga en cuenta que además de este privilegio, el usuario requiere el privilegio SELECT en las tablas de origen para exportar.

IMPORT- Autoriza la actividad de importación en la base de datos mediante los comandos IMPORT. Tenga en cuenta que además de este privilegio, el usuario requiere el privilegio INSERT en las tablas de destino que se van a importar.

INIFILE ADMIN - Autoriza el cambio de la configuración del sistema.

LICENSE ADMIN - Autoriza al comando SET SYSTEM LICENSE para instalar una nueva licencia.

LOG ADMIN - Autoriza los comandos ALTER SYSTEM LOGGING [ON | OFF] para habilitar o deshabilitar el mecanismo de descarga de registros.

MONITOR ADMIN - Autoriza los comandos ALTER SYSTEM para EVENTOS.

OPTIMIZER ADMIN - Autoriza los comandos ALTER SYSTEM relativos a los comandos SQL PLAN CACHE y ALTER SYSTEM UPDATE STATISTICS, que influyen en el comportamiento del optimizador de consultas.

RESOURCE ADMIN- Autoriza comandos relacionados con los recursos del sistema. Por ejemplo, ALTER SYSTEM RECLAIM DATAVOLUME y ALTER SYSTEM RESET MONITORING VIEW. También autoriza muchos de los comandos disponibles en Management Console.

ROLE ADMIN- Autoriza la creación y eliminación de roles mediante los comandos CREATE ROLE y DROP ROLE. También autoriza la concesión y revocación de roles mediante los comandos GRANT y REVOKE.

Los roles activados, es decir, los roles cuyo creador es el usuario predefinido _SYS_REPO, no se pueden otorgar a otros roles o usuarios ni descartarse directamente. Los usuarios que tienen el privilegio ROLE ADMIN tampoco pueden hacerlo. Consulte la documentación relativa a los objetos activados.

SAVEPOINT ADMIN - Autoriza la ejecución de un proceso de savepoint usando el comando ALTER SYSTEM SAVEPOINT.

Los componentes de la base de datos de SAP HANA pueden crear nuevos privilegios del sistema. Estos privilegios utilizan el nombre de componente como primer identificador del privilegio del sistema y el nombre de privilegio de componente como segundo identificador.

Privilegios de objeto / SQL

Los privilegios de objeto también se conocen como privilegios de SQL. Estos privilegios se utilizan para permitir el acceso a objetos como Seleccionar, Insertar, Actualizar y Eliminar de tablas, Vistas o Esquemas.

A continuación se muestran los tipos de privilegios de objeto:

  • Privilegio de objeto sobre objetos de base de datos que solo existen en tiempo de ejecución.

  • Privilegio de objeto sobre los objetos activados creados en el repositorio, como las vistas de cálculo.

  • Privilegio de objeto en el esquema que contiene los objetos activados creados en el repositorio.

  • Los privilegios Object / SQL son una colección de todos los privilegios DDL y DML en los objetos de la base de datos.

A continuación se muestran algunos privilegios de objeto comúnmente admitidos:

Hay varios objetos de base de datos en la base de datos HANA, por lo que no todos los privilegios son aplicables a todo tipo de objetos de base de datos.

Privilegios de objeto y su aplicabilidad en objetos de base de datos.

Privilegios analíticos en el perfil de usuario

En ocasiones, se requiere que los datos de la misma vista no sean accesibles para otros usuarios que no tengan ningún requisito relevante para esos datos.

Los privilegios analíticos se utilizan para limitar el acceso a las vistas de información de HANA a nivel de objeto. Podemos aplicar seguridad a nivel de fila y columna en los privilegios analíticos.

Los privilegios analíticos se utilizan para:

  • Asignación de seguridad a nivel de fila y columna para un rango de valor específico
  • Asignación de seguridad a nivel de fila y columna para vistas de modelado

Privilegios del paquete

En el repositorio de SAP HANA, puede establecer autorizaciones de paquetes para un usuario específico o para un rol. Los privilegios de paquete se utilizan para permitir el acceso a modelos de datos: vistas analíticas o de cálculo o en objetos del repositorio. Todos los privilegios que se asignan a un paquete de repositorio también se asignan a todos los subpaquetes. También puede mencionar si las autorizaciones de usuario asignadas se pueden pasar a otros usuarios.

Pasos para agregar privilegios de paquete al perfil de usuario:

  • Step 1- Haga clic en la pestaña Privilegio de paquete en HANA Studio en Creación de usuario → Elija el signo (+) para agregar uno o más paquetes. Utilice la tecla Ctrl para seleccionar varios paquetes.

  • Step 2 - En el cuadro de diálogo Seleccionar paquete de repositorio, use todo o parte del nombre del paquete para ubicar el paquete del repositorio al que desea autorizar el acceso.

  • Step 3 - Seleccione uno o más paquetes de repositorio a los que desea autorizar el acceso, los paquetes seleccionados aparecen en la pestaña Privilegios del paquete.

Los siguientes privilegios de concesión se utilizan en los paquetes del repositorio para autorizar al usuario a modificar los objetos:

  • REPO.READ - Acceso de lectura al paquete seleccionado y a los objetos en tiempo de diseño (tanto nativos como importados)

  • REPO.EDIT_NATIVE_OBJECTS - Autorización para modificar objetos en paquetes

  • Grantable to Others

Si elige 'Sí' para esto, esto permite que la autorización de usuario asignada pase a los otros usuarios.

Privilegios de aplicación

Privilegios de aplicación en un perfil de usuario que se utilizan para definir la autorización de acceso a la aplicación HANA XS. Esto se puede asignar a un usuario individual o a un grupo de usuarios. Los privilegios de la aplicación también se pueden utilizar para proporcionar diferentes niveles de acceso a la misma aplicación, como para proporcionar funciones avanzadas para administradores de bases de datos y acceso de solo lectura para usuarios normales.

Para definir privilegios específicos de la Aplicación en un perfil de usuario o para agregar un grupo de usuarios, se deben usar los siguientes privilegios:

  • Archivo de privilegios de aplicación (.xsprivileges)
  • Archivo de acceso a la aplicación (.xsaccess)
  • Archivo de definición de roles (<RoleName> .hdbrole)