Jak zdefiniować koncepcje autoryzacji?

SAP HANA to koncepcja szybkiego dostępu do danych in-memory. Pozwala ona na analizę dużej, często niezagregowanej, ilości danych, w sposób o wiele szybszy niż w pozostałych bazach danych. Obsługa danych w SAP HANA różni się znacznie od tej, którą znamy z SAP NetWeaver. Posiada swój własny system do zarządzania użytkownikami i autoryzacjami.

Architektura bezpieczeństwa SAP HANA

Koncepcja autoryzacji zaimplementowana w bazach SAP HANA bazuje na autoryzacjach.
Szyfrowanie SSL powinno być skonfigurowane na każdym z trzech typów połączeń:

  1. połączenie klienta i bazy SAP HANA
  2. wewnętrzne połączenia pomiędzy komponentami SAP HANA
  3. połączenie do data center (na przykład backup z użyciem SAP HANA System Replication)

SAP HANA pozwala również na logowanie krytycznych zdarzeń, takich jak zmiany na użytkownikach, rolach, uprawnieniach oraz zmiany konfiguracji i nieprawidłowe logowania. Dodatkowo logowane są odczyt i zapis danych (na przykład via tabele) oraz uruchomienia. Dostępny jest również pewien rodzaj logowania awaryjnego.

 

SAP HANA – Zarządzanie autoryzacjami i użytkownikami

Baza danych SAP HANA rozróżnia 3 typy użytkowników:

  • użytkownik
  • użytkownik SYSTEM
  • wewnętrzny użytkownik techniczny

Operacje na SAP HANA dla tych użytkowników wymagają odpowiednich uprawnień. Można przypisywać uprawnienia bezpośrednio do użytkowników lub grupować je ze sobą w role.


SAP HANA – Uprawnienia

Podstawowa zasada – dostęp dozwolony jest tylko wtedy, gdy odpowiednie uprawnienia zostały użytkownikowi udzielone. Tak zwana pozytywna autoryzacja.

Żadne autoryzacje w SAP HANA nie są za to negatywne, czyli nie istnieje sposób, dla których użytkownikowi BLOKUJEMY jakiekolwiek dostępy. Dokładnie tak jak w SAP NetWeaver – autoryzacje są jedynie addytywne.

Są trzy typy uprawnień:

  • do obiektów
  • systemowe
  • analityczne


Role SAP HANA

W SAP HANA role są zbiorem uprawnień (lub w niektórych przypadkach zbiorem ról). Role mogą być dziedziczone (zagnieżdżone). Pozwala to dokładnie odwzorować role biznesowe w koncepcją autoryzacji.

Aby zarządzać rolami, powinieneś zawsze pracować w Repozytorium HANA i tworzyć role jako obiekty design-time (role Repozytorium), które później przetransportujesz. Po przetransportowaniu, rola jest aktywowana automatycznie. Tylko te role runtime’owe (role katalogowe) mogą być przypisane.


Koncepcja autoryzacji – Ramy i podstawy

Udzielenie dostępów do obiektów SAP HANA odbywa się standardowo poprzez przypisanie autoryzacji. Ramowa koncepcja określa zasady przypisania uprawnień i ról. Koncepcja taka to gwarant bezpieczeństwa (pod warunkiem, że będą istnieć odpowiednie mechanizmy weryfikujące jej przestrzeganie).

Ramowa koncepcja pomaga poprawić poziom bezpieczeństwa IT przez wdrożenie odpowiednich polityk dostępów. Dlatego ramowa koncepcja autoryzacji powinna odpowiadać na następujące pytania:

  • kto jest uprawniony do tworzenia i zmieniania użytkowników?
  • kto jest uprawniony do tworzenia ról?
  • kto jest uprawniony do przydzielania/zmieniania ról?
  • kto jest odpowiedzialny za administrowanie bazą danych?
  • jak będą zarządzani użytkownicy awaryjni (emergency user/firefighter) i przez kogo?
  • kto będzie kontrolował, którzy użytkownicy?
  • kto jest uprawniony do tworzenia ról XSA?
  • kto jest uprawniony do transportu ról?
  • jakie ograniczenia muszą mieć role?
  • kto jest uprawniony do tworzenia widoków analitycznych?

Koncepcja ramowa musi posiadać następujące informacje:

  1. opis podziału funkcji pomiędzy administracją IT, a działami biznesowymi
  2. opis typów użytkowników (standard i restricted)
  3. obsługę użytkowników SYSTEM
  4. użycie takich użytkowników jak:
  • Administrator
  • Użytkownik techniczny
  • Użytkownik kokpitu
  • Deweloper XSA

5. opis ról dla konkretnych grup użytkowników

6. opis ról z rekomendacjami i wymaganiami:

  • DATA ADMIN
  • ROLE ADMIN
  • CATALOG READ

7. użycie repozytorium i ról HDI

8. korzystanie z autoryzacji:

  • Obiekty
  • Analityka
  • Standard

9. ustawienia dla weryfikacji bazy SAP HANA:

  • Weryfikacja logów audytowych
  • Linux syslog
  • Przypisanie użytkownikom uprawnień audytorskich

10. opis metod dostępów

Dodatkowo (opcjonalnie) można opisać użycie użytkowników awaryjnych oraz dostęp LDAP (jeśli jest). Również należy uwzględnić ewentualne wymogi prawne (takie jak RODO).

Jeśli chcesz dowiedzieć się czegoś więcej o SAP HANA i zarządzaniu autoryzacjami – zapraszamy.


autor:
Tomasz Jurgielewicz /Sast Polska Team/
kontakt: tomasz.jurgielewicz@akquinet.pl

————————————————————————————————

WARTO PRZECZYTAĆ: