- SAP HANA 教程
- SAP HANA - 首页
- SAP HANA 简介
- SAP HANA - 概述
- 内存计算引擎
- SAP HANA - Studio
- Studio 管理视图
- SAP HANA - 系统监控器
- SAP HANA - 信息建模器
- SAP HANA - 核心架构
- SAP HANA 建模
- SAP HANA - 建模
- SAP HANA - 数据仓库
- SAP HANA - 表格
- SAP HANA - 包
- SAP HANA - 属性视图
- SAP HANA - 分析视图
- SAP HANA - 计算视图
- SAP HANA - 分析权限
- SAP HANA - 信息组合器
- SAP HANA - 导出和导入
- SAP HANA 数据复制
- SAP HANA - 数据复制概述
- SAP HANA - 基于 ETL 的复制
- SAP HANA - 基于日志的复制
- SAP HANA - DXC 方法
- SAP HANA - CTL 方法
- SAP HANA - MDX 提供程序
- SAP HANA SQL
- SAP HANA - SQL 概述
- SAP HANA - 数据类型
- SAP HANA - SQL 运算符
- SAP HANA - SQL 函数
- SAP HANA - SQL 表达式
- SAP HANA - SQL 存储过程
- SAP HANA - SQL 序列
- SAP HANA - SQL 触发器
- SAP HANA - SQL 同义词
- SAP HANA - SQL 解释计划
- SAP HANA - SQL 数据分析
- SAP HANA - SQL 脚本
- SAP HANA 有用资源
- SAP HANA - 问答
- SAP HANA - 快速指南
- SAP HANA - 有用资源
- SAP HANA - 讨论
用户管理与角色管理
技术数据库用户仅用于管理目的,例如在数据库中创建新对象,向其他用户授予权限,在包,应用程序等上授予权限。
SAP HANA 用户管理活动
根据业务需求和 HANA 系统的配置,可以使用用户管理工具(如 HANA studio)执行不同的用户活动。
最常见的活动包括 -
- 创建用户
- 向用户授予角色
- 定义和创建角色
- 删除用户
- 重置用户密码
- 在多次登录失败后重新激活用户
- 在需要时停用用户
如何在 HANA Studio 中创建用户?
只有具有系统权限 ROLE ADMIN 的数据库用户才能在 HANA studio 中创建用户和角色。要在 HANA studio 中创建用户和角色,请转到 HANA 管理员控制台。您将在系统视图中看到安全选项卡 -
展开安全选项卡后,它提供了用户和角色的选项。要创建新用户,请右键单击用户并转到新建用户。将打开一个新窗口,您可以在其中定义用户和用户参数。
输入用户名(必填),并在身份验证字段中输入密码。保存新用户的密码时会应用密码。您还可以选择创建受限用户。
指定的角色名称不得与现有用户或角色的名称相同。密码规则包括最短密码长度以及哪些字符类型(小写、大写、数字、特殊字符)必须是密码的一部分。
可以配置不同的授权方法,如 SAML、X509 证书、SAP 登录票证等。数据库中的用户可以通过不同的机制进行身份验证 -
使用密码的内部身份验证机制。
外部机制,例如 Kerberos、SAML、SAP 登录票证、SAP 断言票证或 X.509。
用户可以同时通过多种机制进行身份验证。但是,在任何时间只能有一个密码和一个 Kerberos 主体名称有效。必须指定一种身份验证机制才能允许用户连接并使用数据库实例。
它还提供了一个定义用户有效性的选项,您可以通过选择日期来提及有效期间隔。有效期规范是可选的用户参数。
一些默认情况下随 SAP HANA 数据库一起提供的用户是 - SYS、SYSTEM、_SYS_REPO、_SYS_STATISTICS。
完成此操作后,下一步是为用户配置文件定义权限。可以向用户配置文件添加不同类型的权限。
向用户授予角色
这用于将内置的 SAP.HANA 角色添加到用户配置文件或添加在“角色”选项卡下创建的自定义角色。自定义角色允许您根据访问需求定义角色,您可以将这些角色直接添加到用户配置文件。这样就无需每次为不同的访问类型记住并向用户配置文件添加对象。
PUBLIC - 这是通用角色,默认情况下分配给所有数据库用户。此角色包含对系统视图的只读访问权限以及某些过程的执行权限。这些角色不能被撤销。
建模
它包含在 SAP HANA studio 中使用信息建模器所需的所有权限。
系统权限
可以向用户配置文件添加不同类型的系统权限。要向用户配置文件添加系统权限,请单击“+”号。
系统权限用于备份/恢复、用户管理、实例启动和停止等。
内容管理员
它包含与 MODELING 角色中类似的权限,但增加了允许此角色向其他用户授予这些权限的功能。它还包含用于处理导入对象的存储库权限。
数据管理员
这是一种权限类型,需要从对象向用户配置文件添加数据。
以下是常见的受支持的系统权限 -
附加调试器
它授权调试由不同用户调用的过程调用。此外,还需要相应过程的 DEBUG 权限。
审计管理员
控制以下与审计相关的命令的执行 - CREATE AUDIT POLICY、DROP AUDIT POLICY 和 ALTER AUDIT POLICY 以及审计配置的更改。还允许访问 AUDIT_LOG 系统视图。
审计操作员
它授权执行以下命令 - ALTER SYSTEM CLEAR AUDIT LOG。还允许访问 AUDIT_LOG 系统视图。
备份管理员
它授权 BACKUP 和 RECOVERY 命令来定义和启动备份和恢复过程。
备份操作员
它授权 BACKUP 命令以启动备份过程。
目录读取
它授权用户对所有系统视图拥有未过滤的只读访问权限。通常,这些视图的内容会根据访问用户的权限进行过滤。
创建架构
它授权使用 CREATE SCHEMA 命令创建数据库架构。默认情况下,每个用户拥有一个架构,使用此权限,用户可以创建其他架构。
创建结构化权限
它授权创建结构化权限(分析权限)。只有分析权限的所有者才能进一步授予或撤销其他用户或角色的该权限。
凭据管理员
它授权凭据命令 - CREATE/ALTER/DROP CREDENTIAL。
数据管理员
它授权读取系统视图中的所有数据。它还支持在 SAP HANA 数据库中执行任何数据定义语言 (DDL) 命令
拥有此权限的用户无法选择或更改存储在他们没有访问权限的表中的数据,但他们可以删除表或修改表定义。
数据库管理员
它授权与多数据库中的数据库相关的所有命令,例如 CREATE、DROP、ALTER、RENAME、BACKUP、RECOVERY。
出口
它通过 EXPORT TABLE 命令授权数据库中的导出活动。
请注意,除了此权限外,用户还需要对要导出的源表具有 SELECT 权限。
进口
它使用 IMPORT 命令授权数据库中的导入活动。
请注意,除了此权限外,用户还需要对要导入的目标表具有 INSERT 权限。
Inifile 管理员
它授权更改系统设置。
许可证管理员
它授权 SET SYSTEM LICENSE 命令安装新许可证。
日志管理员
它授权 ALTER SYSTEM LOGGING [ON|OFF] 命令来启用或禁用日志刷新机制。
监控管理员
它授权用于 EVENT 的 ALTER SYSTEM 命令。
优化器管理员
它授权与 SQL PLAN CACHE 相关的 ALTER SYSTEM 命令和 ALTER SYSTEM UPDATE STATISTICS 命令,这些命令会影响查询优化器的行为。
资源管理员
此权限授权与系统资源相关的命令。例如,ALTER SYSTEM RECLAIM DATAVOLUME 和 ALTER SYSTEM RESET MONITORING VIEW。它还授权管理控制台中提供的许多命令。
角色管理员
此权限授权使用 CREATE ROLE 和 DROP ROLE 命令创建和删除角色。它还授权使用 GRANT 和 REVOKE 命令授予和撤销角色。
激活的角色,即其创建者是预定义用户 _SYS_REPO 的角色,既不能授予其他角色或用户,也不能直接删除。即使拥有 ROLE ADMIN 权限的用户也无法做到这一点。请查看有关激活对象的文档。
保存点管理员
它授权使用 ALTER SYSTEM SAVEPOINT 命令执行保存点进程。
SAP HANA 数据库的组件可以创建新的系统权限。这些权限使用组件名称作为系统权限的第一个标识符,并使用组件权限名称作为第二个标识符。
对象/SQL 权限
对象权限也称为 SQL 权限。这些权限用于允许访问对象,例如表、视图或模式的选择、插入、更新和删除。
以下是可能的 Object Privileges 类型 -
仅在运行时存在的数据库对象的 Object Privilege
在存储库中创建的已激活对象(如计算视图)上的 Object Privilege
包含在存储库中创建的已激活对象的模式上的 Object Privilege,
对象/SQL 权限是数据库对象上所有 DDL 和 DML 权限的集合。
以下是常见的受支持 Object Privileges -
HANA 数据库中有多个数据库对象,因此并非所有权限都适用于所有类型的数据库对象。
对象权限及其在数据库对象上的适用性 -
分析权限
有时,需要确保同一视图中的数据不能被没有相关需求的其他用户访问。
分析权限用于限制对 HANA 信息视图的对象级访问。我们可以在分析权限中应用行级和列级安全。
分析权限用于 -
- 为特定值范围分配行级和列级安全。
- 为建模视图分配行级和列级安全。
包权限
在 SAP HANA 存储库中,您可以为特定用户或角色设置包授权。包权限用于允许访问数据模型 - 分析或计算视图或存储库对象。分配给存储库包的所有权限也分配给所有子包。您还可以说明分配的用户授权是否可以传递给其他用户。
向用户配置文件添加包权限的步骤 -
在 HANA Studio 中的用户创建下单击“包权限”选项卡 → 选择 + 以添加一个或多个包。使用 Ctrl 键选择多个包。
在“选择存储库包”对话框中,使用包名称的全部或部分来查找要授权访问的存储库包。
选择要授权访问的一个或多个存储库包,选定的包将显示在“包权限”选项卡中。
以下是用于授权用户修改对象的存储库包上的授予权限 -
REPO.READ - 读取选定包和设计时对象(本地和导入)的访问权限
REPO.EDIT_NATIVE_OBJECTS - 授权修改包中的对象。
可授予他人 - 如果为此选择“是”,则允许分配的用户授权传递给其他用户。
应用程序权限
用户配置文件中的应用程序权限用于定义访问 HANA XS 应用程序的授权。这可以分配给单个用户或用户组。应用程序权限还可以用于为同一应用程序提供不同级别的访问权限,例如为数据库管理员提供高级功能,并为普通用户提供只读访问权限。
要在用户配置文件中定义特定于应用程序的权限或添加用户组,应使用以下权限 -
- 应用程序权限文件 (.xsprivileges)
- 应用程序访问文件 (.xsaccess)
- 角色定义文件 (<RoleName>.hdbrole)