- SAP HANA 管理员教程
- SAP HANA 管理员 - 首页
- SAP HANA 管理员 - 概述
- 架构概述
- 多租户数据库
- 多个主机系统
- 工具
- Cockpit
- Studio
- SAP HANA 管理员 - 系统管理
- 多租户数据库容器管理
- 启动 HANA 系统
- 停止 HANA 系统
- 许可证密钥
- 监控 HANA 系统
- SAP HANA 管理员 - 表管理
- SAP HANA 管理员 - 表分区
- SAP HANA 管理员 - 表复制
- 数据压缩
- Solman 集成
- SAP HANA 管理员 - 生命周期管理
- 保护 HANA 系统
- 用户配置
- 身份验证方法
- 审计活动
- 备份 HANA 系统
- 恢复 HANA 系统
- HANA XS 应用服务
- 数据配置
- 智能数据访问
- 新的远程系统连接
- 与 Hadoop 集成
- 关键命令
- 工作职责
- SAP HANA 管理员有用资源
- SAP HANA 管理员 - 快速指南
- SAP HANA 管理员 - 有用资源
- SAP HANA 管理员 - 讨论
SAP HANA 管理员 - 用户配置
SAP HANA 用户和角色管理配置取决于您的 HANA 系统架构。如果 SAP HANA 与 BI 平台工具集成并充当报表数据库,则最终用户和角色在应用服务器中管理。
如果最终用户直接连接到 SAP HANA 数据库,则 HANA 系统数据库层的用户和角色对于最终用户和管理员都是必需的。
每个想要使用 HANA 数据库的用户都必须拥有具有必要权限的数据库用户。访问 HANA 系统的用户可以是技术用户或最终用户,具体取决于访问需求。成功登录系统后,将验证用户执行所需操作的授权。执行该操作取决于授予用户的权限。这些权限可以使用 HANA 安全性中的角色来授予。HANA Studio 是管理 HANA 数据库系统用户和角色的强大工具之一。
用户类型
用户类型根据安全策略和分配给用户配置文件的不同权限而有所不同。用户类型可以是技术数据库用户或最终用户。用户需要访问 HANA 系统以进行报表目的或数据操作。
标准用户
标准用户是可以在其自己的模式中创建对象并在系统信息模型中具有读取访问权限的用户。读取访问权限由 PUBLIC 角色提供,该角色分配给每个标准用户。
受限用户
受限用户是指通过某些应用程序访问 HANA 系统并且在 HANA 系统上没有 SQL 权限的用户。创建这些用户时,他们最初没有任何访问权限。
如果我们将受限用户与标准用户进行比较:
受限用户无法在 HANA 数据库或其自己的模式中创建对象。
他们无法查看数据库中的任何数据,因为他们没有像标准用户一样将通用 Public 角色添加到配置文件中。
他们只能使用 HTTP/HTTPS 连接到 HANA 数据库。
HANA 用户管理和角色管理
技术数据库用户仅用于管理目的,例如在数据库中创建新对象,向其他用户、包、应用程序等分配权限。
SAP HANA 用户管理活动
根据业务需求和 HANA 系统的配置,可以使用用户管理工具(例如 HANA Studio)执行不同的用户活动。
最常见的活动包括:
- 创建用户
- 向用户授予角色
- 定义和创建角色
- 删除用户
- 重置用户密码
- 在多次登录失败后重新激活用户
- 在需要时停用用户
在 HANA Studio 中创建用户
只有具有系统权限 ROLE ADMIN 的数据库用户才能在 HANA Studio 中创建用户和角色。要在 HANA Studio 中创建用户和角色,请转到 HANA 管理员控制台。您将在“系统”视图中看到“安全”选项卡。
展开安全选项卡后,它会提供用户和角色选项。要创建新用户,请右键单击“用户”并转到“新建用户”。将打开一个新窗口,您可以在其中定义用户和用户参数。
输入用户名(必填),并在“身份验证”字段中输入密码。保存新用户的密码时会应用密码。您也可以选择创建受限用户。
指定的用户名不得与现有用户或角色的名称相同。密码规则包括最短密码长度以及必须是密码一部分的字符类型(小写、大写、数字、特殊字符)的定义。
可以配置不同的授权方法,例如 SAML、X509 证书、SAP 登录票证等。数据库中的用户可以通过不同的机制进行身份验证:
使用密码的内部身份验证机制。
外部机制,例如 Kerberos、SAML、SAP 登录票证、SAP 断言票证或 X.509。
用户可以同时通过多种机制进行身份验证。但是,任何时候只能有一个密码和一个 Kerberos 主体名称有效。必须指定一种身份验证机制才能允许用户连接并使用数据库实例。
它还提供定义用户有效性的选项。您可以通过选择日期来提及有效期间隔。有效期规范是可选的用户参数。
SAP HANA 数据库默认提供一些用户:SYS、SYSTEM、_SYS_REPO、_SYS_STATISTICS。
完成此操作后,接下来是为用户配置文件定义权限。
用户配置文件的权限类型
可以向用户配置文件添加不同类型的权限。
授予的角色
这用于将内置 sap.hana 角色添加到用户配置文件或添加在“角色”选项卡下创建的自定义角色。自定义角色允许您根据访问需求定义角色,您可以将这些角色直接添加到用户配置文件。这样无需每次为不同的访问类型记住并向用户配置文件添加对象。
公共角色
这是一个通用角色,默认分配给所有数据库用户。此角色包含对系统视图的只读访问权限以及某些过程的执行权限。这些角色不能被撤销。
建模
它包含在 SAP HANA Studio 中使用信息建模器所需的所有权限。
系统权限
可以向用户配置文件添加不同类型的系统权限。要向用户配置文件添加系统权限,请单击“(+)”符号。
系统权限用于备份/恢复、用户管理、实例启动和停止等。
内容管理员
它包含与 MODELING 角色中类似的权限,但增加了允许此角色将这些权限授予其他用户的权限。它还包含用于处理导入对象的存储库权限。
数据管理员
这是另一种权限类型,需要从对象中向用户配置文件添加数据。
以下是一些常见的受支持系统权限:
ATTACH DEBUGGER - 授权调试由不同用户调用的过程调用。此外,还需要相应过程的 DEBUG 权限。
AUDIT ADMIN - 控制以下与审计相关的命令的执行:CREATE AUDIT POLICY、DROP AUDIT POLICY 和 ALTER AUDIT POLICY 以及审计配置的更改。还允许访问 AUDIT_LOG 系统视图。
AUDIT OPERATOR - 授权执行以下命令:ALTER SYSTEM CLEAR AUDIT LOG。还允许访问 AUDIT_LOG 系统视图。
BACKUP ADMIN - 授权 BACKUP 和 RECOVERY 命令,用于定义和启动备份和恢复过程。
BACKUP OPERATOR - 授权 BACKUP 命令以启动备份过程。
CATALOG READ - 授权用户对所有系统视图进行无过滤的只读访问。通常,这些视图的内容会根据访问用户的权限进行过滤。
CREATE SCHEMA - 授权使用 CREATE SCHEMA 命令创建数据库模式。默认情况下,每个用户拥有一个模式。使用此权限,用户可以创建其他模式。
CREATE STRUCTURED PRIVILEGE - 授权创建结构化权限(分析权限)。只有分析权限的所有者才能进一步向其他用户或角色授予或撤销该权限。
CREDENTIAL ADMIN - 授权凭据命令:CREATE/ALTER/DROP CREDENTIAL。
DATA ADMIN - 授权读取系统视图中的所有数据。它还允许在 SAP HANA 数据库中执行任何数据定义语言 (DDL) 命令。拥有此权限的用户无法选择或更改他们无权访问数据的存储表,但他们可以删除表或修改表定义。
DATABASE ADMIN - 授权与多数据库中的数据库相关的所有命令,例如 CREATE、DROP、ALTER、RENAME、BACKUP、RECOVERY。
EXPORT - 通过 EXPORT TABLE 命令授权数据库中的导出活动。请注意,除了此权限外,用户还需要对要导出的源表具有 SELECT 权限。
IMPORT - 使用 IMPORT 命令授权数据库中的导入活动。请注意,除了此权限外,用户还需要对要导入的目标表具有 INSERT 权限。
INIFILE ADMIN - 授权更改系统设置。
LICENSE ADMIN - 授权 SET SYSTEM LICENSE 命令以安装新许可证。
LOG ADMIN - 授权 ALTER SYSTEM LOGGING [ON|OFF] 命令以启用或禁用日志刷新机制。
MONITOR ADMIN - 授权用于 EVENT 的 ALTER SYSTEM 命令。
OPTIMIZER ADMIN - 授权与 SQL PLAN CACHE 和 ALTER SYSTEM UPDATE STATISTICS 命令相关的 ALTER SYSTEM 命令,这些命令会影响查询优化器的行为。
资源管理员 (RESOURCE ADMIN) − 授权执行与系统资源相关的命令。例如,ALTER SYSTEM RECLAIM DATAVOLUME 和 ALTER SYSTEM RESET MONITORING VIEW。它还授权管理控制台中提供的许多命令。
角色管理员 (ROLE ADMIN) − 授权使用 CREATE ROLE 和 DROP ROLE 命令创建和删除角色。它还授权使用 GRANT 和 REVOKE 命令授予和撤销角色。
已激活的角色(其创建者是预定义用户 _SYS_REPO)既不能授予其他角色或用户,也不能直接删除。拥有 ROLE ADMIN 权限的用户也无法执行此操作。请查看有关已激活对象的文档。
保存点管理员 (SAVEPOINT ADMIN) − 授权使用 ALTER SYSTEM SAVEPOINT 命令执行保存点进程。
SAP HANA 数据库的组件可以创建新的系统权限。这些权限使用组件名称作为系统权限的第一个标识符,使用组件权限名称作为第二个标识符。
对象/SQL 权限
对象权限也称为 SQL 权限。这些权限用于允许访问对象,例如表、视图或模式的 SELECT、INSERT、UPDATE 和 DELETE 操作。
以下是对象权限的类型:
仅在运行时存在的数据库对象的权限。
对在存储库中创建的已激活对象(例如计算视图)的对象权限。
对包含在存储库中创建的已激活对象的模式的对象权限。
对象/SQL 权限是数据库对象上所有 DDL 和 DML 权限的集合。
以下是一些常用的对象权限:
HANA 数据库中有多个数据库对象,因此并非所有权限都适用于所有类型的数据库对象。
对象权限及其在数据库对象上的适用性。
用户配置文件中的分析权限
有时需要确保同一视图中的数据不会被那些不需要该数据的其他用户访问。
分析权限用于限制对 HANA 信息视图的对象级访问。我们可以在分析权限中应用行级和列级安全性。
分析权限用于:
- 为特定值范围分配行级和列级安全性
- 为建模视图分配行级和列级安全性
包权限
在 SAP HANA 存储库中,您可以为特定用户或角色设置包授权。包权限用于允许访问数据模型 - 分析视图或计算视图或存储库对象。分配给存储库包的所有权限也分配给所有子包。您还可以提及分配的用户授权是否可以传递给其他用户。
向用户配置文件添加包权限的步骤:
步骤 1 − 在 HANA Studio 中的用户创建下单击“包权限”选项卡 → 选择“(+)”符号以添加一个或多个包。使用 Ctrl 键选择多个包。
步骤 2 − 在“选择存储库包”对话框中,使用包名称的全部或部分来查找要授权访问的存储库包。
步骤 3 − 选择一个或多个要授权访问的存储库包,所选包将显示在“包权限”选项卡中。
以下授予权限用于存储库包,以授权用户修改对象:
REPO.READ − 读取所选包和设计时对象(本机和导入的)的访问权限
REPO.EDIT_NATIVE_OBJECTS − 授权修改包中的对象
可授予他人
如果为此选择“是”,则允许将分配的用户授权传递给其他用户。
应用程序权限
用户配置文件中的应用程序权限用于定义对 HANA XS 应用程序的访问授权。这可以分配给单个用户或用户组。应用程序权限还可以用于向同一应用程序提供不同级别的访问权限,例如为数据库管理员提供高级功能,为普通用户提供只读访问权限。
要在用户配置文件中定义特定于应用程序的权限或添加用户组,应使用以下权限:
- 应用程序权限文件 (.xsprivileges)
- 应用程序访问文件 (.xsaccess)
- 角色定义文件 (<RoleName>.hdbrole)