Administración de usuarios y gestión de roles
Los usuarios de bases de datos técnicas se utilizan solo con fines administrativos, como crear nuevos objetos en la base de datos, asignar privilegios a otros usuarios, en paquetes, aplicaciones, etc.
Actividades de administración de usuarios de SAP HANA
Dependiendo de las necesidades comerciales y la configuración del sistema HANA, existen diferentes actividades de usuario que se pueden realizar utilizando una herramienta de administración de usuarios como HANA Studio.
Las actividades más comunes incluyen:
- Crear usuarios
- Otorgar roles a los usuarios
- Definir y crear roles
- Eliminar usuarios
- Restablecimiento de contraseñas de usuario
- Reactivación de usuarios después de demasiados intentos fallidos de inicio de sesión
- Desactivar usuarios cuando sea necesario
¿Cómo crear usuarios en HANA Studio?
Solo los usuarios de la base de datos con el privilegio del sistema ROLE ADMIN pueden crear usuarios y roles en HANA Studio. Para crear usuarios y roles en HANA Studio, vaya a la Consola de administrador de HANA. Verá la pestaña de seguridad en la vista Sistema:
Cuando expande la pestaña de seguridad, ofrece la opción de Usuario y Roles. Para crear un nuevo usuario, haga clic derecho en Usuario y vaya a Nuevo usuario. Se abrirá una nueva ventana donde se definen los parámetros de Usuario y Usuario.
Ingrese el nombre de usuario (mandato) y en el campo Autenticación ingrese la contraseña. Se aplica la contraseña, mientras se guarda la contraseña para un nuevo usuario. También puede optar por crear un usuario restringido.
El nombre del rol especificado no debe ser idéntico al nombre de un usuario o rol existente. Las reglas de contraseña incluyen una longitud mínima de contraseña y una definición de qué tipos de caracteres (inferior, superior, dígitos, caracteres especiales) deben formar parte de la contraseña.
Se pueden configurar diferentes métodos de autorización como SAML, certificados X509, ticket de inicio de sesión de SAP, etc. Los usuarios de la base de datos pueden autenticarse mediante diversos mecanismos:
Mecanismo de autenticación interno mediante contraseña.
Mecanismos externos como Kerberos, SAML, SAP Logon Ticket, SAP Assertion Ticket o X.509.
Un usuario puede ser autenticado por más de un mecanismo a la vez. Sin embargo, solo una contraseña y un nombre principal para Kerberos pueden ser válidos a la vez. Se debe especificar un mecanismo de autenticación para permitir al usuario conectarse y trabajar con la instancia de la base de datos.
También ofrece una opción para definir la validez del usuario, puede mencionar el intervalo de validez seleccionando las fechas. La especificación de validez es un parámetro de usuario opcional.
Algunos usuarios que, de forma predeterminada, se entregan con la base de datos de SAP HANA son: SYS, SYSTEM, _SYS_REPO, _SYS_STATISTICS.
Una vez hecho esto, el siguiente paso es definir privilegios para el perfil de usuario. Hay diferentes tipos de privilegios que se pueden agregar a un perfil de usuario.
Roles otorgados a un usuario
Esto se utiliza para agregar roles SAP.HANA incorporados al perfil de usuario o para agregar roles personalizados creados en la pestaña Roles. Los roles personalizados le permiten definir roles según los requisitos de acceso y puede agregar estos roles directamente al perfil de usuario. Esto elimina la necesidad de recordar y agregar objetos a un perfil de usuario cada vez para diferentes tipos de acceso.
PUBLIC- Este es un rol genérico y se asigna a todos los usuarios de la base de datos de forma predeterminada. Este rol contiene acceso de solo lectura a las vistas del sistema y privilegios de ejecución para algunos procedimientos. Estos roles no se pueden revocar.
Modelado
Contiene todos los privilegios necesarios para usar el modelador de información en el estudio SAP HANA.
Privilegios del sistema
Hay diferentes tipos de privilegios del sistema que se pueden agregar a un perfil de usuario. Para agregar privilegios del sistema a un perfil de usuario, haga clic en + signo.
Los privilegios del sistema se utilizan para realizar copias de seguridad / restaurar, administración de usuarios, inicio y detención de instancias, etc.
Administrador de contenido
Contiene privilegios similares a los del rol de MODELADO, pero con la adición de que este rol puede otorgar estos privilegios a otros usuarios. También contiene los privilegios de repositorio para trabajar con objetos importados.
Administrador de datos
Este es un tipo de privilegio, necesario para agregar datos de objetos al perfil de usuario.
A continuación se muestran los privilegios comunes del sistema admitidos:
Adjuntar depurador
Autoriza la depuración de una llamada a procedimiento, llamada por un usuario diferente. Además, se necesita el privilegio DEBUG para el procedimiento correspondiente.
Administrador de auditoría
Controla la ejecución de los siguientes comandos relacionados con la auditoría: CREATE AUDIT POLICY, DROP AUDIT POLICY y ALTER AUDIT POLICY y los cambios de la configuración de auditoría. También permite el acceso a la vista del sistema AUDIT_LOG.
Operador de auditoría
Autoriza la ejecución del siguiente comando - ALTER SYSTEM CLEAR AUDIT LOG. También permite el acceso a la vista del sistema AUDIT_LOG.
Administrador de respaldo
Autoriza los comandos BACKUP y RECOVERY para definir e iniciar procedimientos de copia de seguridad y recuperación.
Operador de respaldo
Autoriza al comando BACKUP para iniciar un proceso de respaldo.
Leer catálogo
Autoriza a los usuarios a tener acceso de solo lectura sin filtros a todas las vistas del sistema. Normalmente, el contenido de estas vistas se filtra en función de los privilegios del usuario que accede.
Crear esquema
Autoriza la creación de esquemas de base de datos mediante el comando CREATE SCHEMA. De forma predeterminada, cada usuario posee un esquema, con este privilegio el usuario puede crear esquemas adicionales.
CREAR PRIVILEGIO ESTRUCTURADO
Autoriza la creación de Privilegios Estructurados (Privilegios Analíticos). Solo el propietario de un privilegio analítico puede otorgar o revocar ese privilegio a otros usuarios o roles.
Administrador de credenciales
Autoriza los comandos de la credencial: CREAR / ALTERAR / SOLTAR CREDENCIAL.
Administrador de datos
Autoriza la lectura de todos los datos en las vistas del sistema. También permite la ejecución de cualquier comando de lenguaje de definición de datos (DDL) en la base de datos de SAP HANA.
Un usuario que tenga este privilegio no puede seleccionar ni cambiar tablas de datos almacenadas para las que no tiene privilegios de acceso, pero puede eliminar tablas o modificar las definiciones de tablas.
Administrador de base de datos
Autoriza todos los comandos relacionados con las bases de datos en una base de datos múltiple, como CREAR, DROP, ALTER, RENAME, BACKUP, RECOVERY.
Exportar
Autoriza la actividad de exportación en la base de datos mediante el comando EXPORT TABLE.
Tenga en cuenta que además de este privilegio, el usuario requiere el privilegio SELECT en las tablas de origen para exportar.
Importar
Autoriza la actividad de importación en la base de datos utilizando los comandos IMPORT.
Tenga en cuenta que, además de este privilegio, el usuario requiere el privilegio INSERT en las tablas de destino que se van a importar.
Administrador de archivos
Autoriza el cambio de la configuración del sistema.
Administrador de licencias
Autoriza al comando SET SYSTEM LICENSE instalar una nueva licencia.
Administrador de registro
Autoriza los comandos ALTER SYSTEM LOGGING [ON | OFF] para habilitar o deshabilitar el mecanismo de descarga de registros.
Supervisar administrador
Autoriza los comandos ALTER SYSTEM para EVENTOS.
Administrador del optimizador
Autoriza los comandos ALTER SYSTEM relacionados con los comandos SQL PLAN CACHE y ALTER SYSTEM UPDATE STATISTICS, que influyen en el comportamiento del optimizador de consultas.
Administrador de recursos
Este privilegio autoriza comandos relacionados con los recursos del sistema. Por ejemplo, ALTER SYSTEM RECLAIM DATAVOLUME y ALTER SYSTEM RESET MONITORING VIEW. También autoriza muchos de los comandos disponibles en Management Console.
Administrador de funciones
Este privilegio autoriza la creación y eliminación de roles mediante los comandos CREATE ROLE y DROP ROLE. También autoriza la concesión y revocación de roles mediante los comandos GRANT y REVOKE.
Los roles activados, es decir, los roles cuyo creador es el usuario predefinido _SYS_REPO, no pueden otorgarse a otros roles o usuarios ni eliminarse directamente. Ni siquiera los usuarios que tienen el privilegio ROLE ADMIN pueden hacerlo. Consulte la documentación relativa a los objetos activados.
Administrador de Savepoint
Autoriza la ejecución de un proceso de punto de guardado utilizando el comando ALTER SYSTEM SAVEPOINT.
Los componentes de la base de datos de SAP HANA pueden crear nuevos privilegios del sistema. Estos privilegios utilizan el nombre del componente como primer identificador del privilegio del sistema y el nombre del privilegio del componente como segundo identificador.
Privilegios de objeto / SQL
Los privilegios de objeto también se conocen como privilegios de SQL. Estos privilegios se utilizan para permitir el acceso a objetos como Seleccionar, Insertar, Actualizar y Eliminar tablas, Vistas o Esquemas.
A continuación se muestran los posibles tipos de privilegios de objeto:
Privilegio de objeto sobre objetos de base de datos que solo existen en tiempo de ejecución
Privilegio de objeto sobre objetos activados creados en el repositorio, como vistas de cálculo
Privilegio de objeto en el esquema que contiene objetos activados creados en el repositorio,
Los privilegios Object / SQL son una colección de todos los privilegios DDL y DML en los objetos de la base de datos.
A continuación se muestran los privilegios de objetos admitidos comunes:
Hay varios objetos de base de datos en la base de datos HANA, por lo que no todos los privilegios son aplicables a todo tipo de objetos de base de datos.
Privilegios de objeto y su aplicabilidad en objetos de base de datos -
Privilegios analíticos
A veces, se requiere que los datos en la misma vista no sean accesibles para otros usuarios que no tengan ningún requisito relevante para esos datos.
Los privilegios analíticos se utilizan para limitar el acceso a las vistas de información de HANA a nivel de objeto. Podemos aplicar seguridad a nivel de fila y columna en los privilegios analíticos.
Los privilegios analíticos se utilizan para:
- Asignación de seguridad a nivel de fila y columna para un rango de valores específicos.
- Asignación de seguridad a nivel de fila y columna para vistas de modelado.
Privilegios del paquete
En el repositorio de SAP HANA, puede establecer autorizaciones de paquetes para un usuario específico o para un rol. Los privilegios de paquete se utilizan para permitir el acceso a modelos de datos: vistas analíticas o de cálculo, o en objetos del repositorio. Todos los privilegios que se asignan a un paquete de repositorio también se asignan a todos los subpaquetes. También puede mencionar si las autorizaciones de usuario asignadas se pueden pasar a otros usuarios.
Pasos para agregar privilegios de un paquete al perfil de usuario:
Haga clic en la pestaña Privilegio de paquete en HANA Studio en Creación de usuario → Elija + para agregar uno o más paquetes. Utilice la tecla Ctrl para seleccionar varios paquetes.
En el cuadro de diálogo Seleccionar paquete de repositorio, use todo o parte del nombre del paquete para ubicar el paquete de repositorio al que desea autorizar el acceso.
Seleccione uno o más paquetes de repositorio a los que desea autorizar el acceso, los paquetes seleccionados aparecen en la pestaña Privilegios del paquete.
A continuación se muestran los privilegios de concesión, que se utilizan en los paquetes del repositorio para autorizar al usuario a modificar los objetos:
REPO.READ - Acceso de lectura al paquete seleccionado y a los objetos en tiempo de diseño (tanto nativos como importados)
REPO.EDIT_NATIVE_OBJECTS - Autorización para modificar objetos en paquetes.
Grantable to Others - Si elige 'Sí' para esto, esto permite que la autorización de usuario asignada pase a los otros usuarios.
Privilegios de aplicación
Los privilegios de la aplicación en un perfil de usuario se utilizan para definir la autorización de acceso a la aplicación HANA XS. Esto se puede asignar a un usuario individual o al grupo de usuarios. Los privilegios de la aplicación también se pueden utilizar para proporcionar diferentes niveles de acceso a la misma aplicación, como para proporcionar funciones avanzadas para administradores de bases de datos y acceso de solo lectura para usuarios normales.
Para definir privilegios específicos de la Aplicación en un perfil de usuario o para agregar un grupo de usuarios, se deben usar los privilegios siguientes:
- Archivo de privilegios de aplicación (.xsprivileges)
- Archivo de acceso a la aplicación (.xsaccess)
- Archivo de definición de roles (<RoleName> .hdbrole)