Sap-hana-administration-user-provisioning
SAP HANA Admin-ユーザープロビジョニング
SAP HANAユーザーおよびロール管理の構成は、HANAシステムのアーキテクチャに依存します。 SAP HANAがBIプラットフォームツールと統合され、レポートデータベースとして機能する場合、エンドユーザーとロールはアプリケーションサーバーで管理されます。
エンドユーザーがSAP HANAデータベースに直接接続する場合、HANAシステムのデータベースレイヤーのユーザーとロールは、エンドユーザーと管理者の両方に必要です。
HANAデータベースを使用するすべてのユーザーには、必要な特権を持つデータベースユーザーが必要です。 HANAシステムにアクセスするユーザーは、アクセス要件に応じて技術ユーザーまたはエンドユーザーのいずれかになります。 システムへのログオンに成功すると、必要な操作を実行するためのユーザーの承認が検証されます。 その操作の実行は、ユーザーに付与されている特権に依存します。 これらの特権は、HANA Securityのロールを使用して付与できます。 HANA Studioは、HANAデータベースシステムのユーザーとロールを管理する強力なツールの1つです。
ユーザータイプ
ユーザーの種類は、セキュリティポリシーと、ユーザープロファイルに割り当てられたさまざまな特権によって異なります。 ユーザータイプは、技術データベースユーザーまたはエンドユーザーです。 ユーザーは、目的の報告やデータ操作のためにHANAシステムにアクセスする必要があります。
標準ユーザー
標準ユーザーは、独自のスキーマでオブジェクトを作成でき、システム情報モデルで読み取りアクセス権を持つユーザーです。 読み取りアクセスは、すべての標準ユーザーに割り当てられるPUBLICロールによって提供されます。
制限されたユーザー
制限されたユーザーとは、一部のアプリケーションでHANAシステムにアクセスし、HANAシステムに対するSQL特権を持たないユーザーです。 これらのユーザーが作成されると、最初はアクセスできません。
制限付きユーザーと標準ユーザーを比較する場合-
- 制限されたユーザーは、HANAデータベースまたは独自のスキーマにオブジェクトを作成できません。
- 標準ユーザーのようなプロファイルに一般的なパブリックロールが追加されていないため、データベースのデータを表示するアクセス権はありません。
- HTTP/HTTPSを使用してのみ、HANAデータベースに接続できます。
HANAユーザー管理とロール管理
テクニカルデータベースユーザーは、データベース内での新しいオブジェクトの作成、他のユーザー、パッケージ、アプリケーションなどへの特権の割り当てなどの管理目的でのみ使用されます。
SAP HANAユーザー管理アクティビティ
ビジネスニーズとHANAシステムの構成に応じて、HANA studioなどのユーザー管理ツールを使用して実行できるさまざまなユーザーアクティビティがあります。
最も一般的な活動は次のとおりです-
- ユーザーを作成する
- ユーザーに役割を付与する
- 役割を定義および作成する
- ユーザーを削除する
- ユーザーのパスワードをリセットする
- ログオン試行の失敗が多すぎる場合にユーザーを再アクティブ化する
- 必要に応じてユーザーを非アクティブ化する
HANA Studioでユーザーを作成する
システム権限ROLE ADMINを持つデータベースユーザーのみが、HANA Studioでユーザーとロールを作成できます。 HANA Studioでユーザーとロールを作成するには、HANA管理者コンソールに移動します。 システムビューにセキュリティタブが表示されます。
セキュリティタブを展開すると、ユーザーとロールのオプションが表示されます。 新しいユーザーを作成するには、ユーザーを右クリックして、新しいユーザーに移動します。 ユーザーおよびユーザーパラメーターを定義する新しいウィンドウが開きます。
ユーザー名(義務)を入力し、[認証]フィールドにパスワードを入力します。 新しいユーザーのパスワードを保存するときにパスワードが適用されます。 制限ユーザーを作成することもできます。
指定されたロール名は、既存のユーザーまたはロールの名前と同一であってはなりません。 パスワードルールには、パスワードの最小長と、パスワードの一部である必要がある文字タイプ(下位、上位、数字、特殊文字)の定義が含まれます。
SAML、X509証明書、SAPログオンチケットなど、さまざまな認証方法を設定できます。 データベース内のユーザーは、さまざまなメカニズムによって認証されます-
- パスワードを使用した内部認証メカニズム。
- Kerberos、SAML、SAPログオンチケット、SAPアサーションチケット、X.509などの外部メカニズム。
- ユーザーは、一度に複数のメカニズムによって認証されます。 ただし、Kerberosに対して有効なパスワードとプリンシパル名は一度に1つだけです。 ユーザーがデータベースインスタンスに接続して作業できるようにするには、1つの認証メカニズムを指定する必要があります。
また、ユーザーの有効性を定義するオプションも提供します。 日付を選択して、有効期間を指定できます。 有効性の指定は、オプションのユーザーパラメーターです。
デフォルトでSAP HANAデータベースとともに提供されるユーザーには、SYS、SYSTEM、_SYS_REPO、_SYS_STATISTICSがあります。
これが完了したら、次にユーザープロファイルの特権を定義します。
ユーザープロファイルに対する特権の種類
ユーザープロファイルに追加できるさまざまな種類の特権があります。
付与された役割
これは、組み込みのsap.hanaロールをユーザープロファイルに追加するか、[ロール]タブで作成されたカスタムロールを追加するために使用されます。 カスタムロールを使用すると、アクセス要件ごとにロールを定義でき、これらのロールをユーザープロファイルに直接追加できます。 これにより、さまざまなアクセスタイプに対して毎回オブジェクトを覚えてユーザープロファイルに追加する必要がなくなります。
パブリックロール
これは一般的なロールであり、デフォルトですべてのデータベースユーザーに割り当てられます。 このロールには、システムビューへの読み取り専用アクセスと、一部のプロシージャの実行権限が含まれています。 これらの役割を取り消すことはできません。
モデリング
SAP HANAスタジオで情報モデラーを使用するために必要なすべての特権が含まれています。
システム権限
ユーザープロファイルに追加できるシステム権限にはさまざまな種類があります。 ユーザープロファイルにシステム権限を追加するには、(+)記号をクリックします。
システム権限は、バックアップ/復元、ユーザー管理、インスタンスの起動と停止などに使用されます。
コンテンツ管理者
これには、MODELINGロールと同様の特権が含まれていますが、このロールがこれらの特権を他のユーザーに付与できることも追加されています。 また、インポートされたオブジェクトを操作するリポジトリ権限も含まれています。
データ管理者
これは、オブジェクトからユーザープロファイルにデータを追加するために必要な別のタイプの特権です。
以下は、いくつかの一般的なサポートされているシステム権限です-
*ATTACH DEBUGGER* -別のユーザーによって呼び出されるプロシージャコールのデバッグを許可します。 さらに、対応するプロシージャのDEBUG特権が必要です。
*AUDIT ADMIN* -次の監査関連コマンドの実行を制御します:CREATE AUDIT POLICY、DROP AUDIT POLICY、ALTER AUDIT POLICY、および監査構成の変更。 また、AUDIT_LOGシステムビューへのアクセスを許可します。
*AUDIT OPERATOR* -次のコマンドの実行を許可します:ALTER SYSTEM CLEAR AUDIT LOG。 また、AUDIT_LOGシステムビューへのアクセスを許可します。
*BACKUP ADMIN* -バックアップおよびリカバリ手順を定義および開始するためのBACKUPおよびRECOVERYコマンドを許可します。
*BACKUP OPERATOR* -バックアッププロセスを開始するBACKUPコマンドを許可します。
*CATALOG READ* -すべてのシステムビューへのフィルターなしの読み取り専用アクセスをユーザーに許可します。 通常、これらのビューのコンテンツは、アクセスしているユーザーの権限に基づいてフィルタリングされます。
*CREATE SCHEMA* -CREATE SCHEMAコマンドを使用してデータベーススキーマの作成を許可します。 デフォルトでは、各ユーザーは1つのスキーマを所有しています。 この権限により、ユーザーは追加のスキーマを作成できます。
*CREATE STRUCTURED PRIVILEGE* -構造化特権(分析特権)の作成を許可します。 分析特権の所有者のみが、他のユーザーまたはロールにその特権をさらに付与または取り消すことができます。
*CREDENTIAL ADMIN* -クレデンシャルコマンドを許可します:CREATE/ALTER/DROP CREDENTIAL。
*DATA ADMIN* -システムビュー内のすべてのデータの読み取りを許可します。 また、SAP HANAデータベースでデータ定義言語(DDL)コマンドを実行できます。 この権限を持つユーザーは、アクセス権限を持たないデータ保存テーブルを選択または変更できませんが、テーブルを削除したり、テーブル定義を変更したりできます。
*DATABASE ADMIN* -CREATE、DROP、ALTER、RENAME、BACKUP、RECOVERYなど、マルチデータベース内のデータベースに関連するすべてのコマンドを許可します。
*EXPORT* -EXPORT TABLEコマンドを使用して、データベースのエクスポートアクティビティを許可します。 この特権に加えて、ユーザーはエクスポートするソーステーブルに対するSELECT特権を必要とすることに注意してください。
*IMPORT* -IMPORTコマンドを使用して、データベース内のインポートアクティビティを許可します。 この特権に加えて、ユーザーはインポートするターゲットテーブルに対するINSERT特権を必要とすることに注意してください。
*INIFILE ADMIN* -システム設定の変更を許可します。
*LICENSE ADMIN* -SET SYSTEM LICENSEコマンドに新しいライセンスをインストールすることを許可します。
*LOG ADMIN* -ログフラッシュメカニズムを有効または無効にするALTER SYSTEM LOGGING [ON | OFF]コマンドを許可します。
*MONITOR ADMIN* -EVENTのALTER SYSTEMコマンドを許可します。
*OPTIMIZER ADMIN* -クエリオプティマイザーの動作に影響を与えるSQL PLAN CACHEおよびALTER SYSTEM UPDATE STATISTICSコマンドに関するALTER SYSTEMコマンドを承認します。
*RESOURCE ADMIN* -システムリソースに関するコマンドを許可します。 たとえば、ALTER SYSTEM RECLAIM DATAVOLUMEおよびALTER SYSTEM RESET MONITORING VIEW。 また、管理コンソールで使用可能な多くのコマンドを許可します。
*ROLE ADMIN* -CREATE ROLEおよびDROP ROLEコマンドを使用して、ロールの作成と削除を許可します。 また、GRANTおよびREVOKEコマンドを使用して、ロールの付与と取り消しを許可します。
アクティブ化されたロール、つまり作成者が事前定義されたユーザー_SYS_REPOであるロールは、他のロールまたはユーザーに付与することも、直接ドロップすることもできません。 ROLE ADMIN特権を持つユーザーもそうすることはできません。 アクティブ化されたオブジェクトに関するドキュメントを確認してください。
*SAVEPOINT ADMIN* -ALTER SYSTEM SAVEPOINTコマンドを使用して、セーブポイントプロセスの実行を許可します。
SAP HANAデータベースのコンポーネントは、新しいシステム権限を作成できます。 これらの特権は、システム特権の最初の識別子としてcomponent-nameを使用し、2番目の識別子としてcomponentprivilege-nameを使用します。
オブジェクト/SQL特権
オブジェクト権限は、SQL権限とも呼ばれます。 これらの権限は、テーブル、ビュー、スキーマの選択、挿入、更新、削除などのオブジェクトへのアクセスを許可するために使用されます。
オブジェクト特権の種類は次のとおりです-
- ランタイムにのみ存在するデータベースオブジェクトに対するオブジェクト権限。
- 計算ビューなど、リポジトリで作成されたアクティブ化されたオブジェクトに対するオブジェクト権限。
- リポジトリで作成されたアクティブ化されたオブジェクトを含むスキーマのオブジェクト権限。
- オブジェクト/SQL特権は、データベースオブジェクトに対するすべてのDDLおよびDML特権のコレクションです。
一般的にサポートされているいくつかのオブジェクト権限は次のとおりです-
HANAデータベースには複数のデータベースオブジェクトがあるため、すべての権限がすべての種類のデータベースオブジェクトに適用できるわけではありません。
オブジェクト特権とデータベースオブジェクトへの適用可能性。
ユーザープロファイルの分析特権
同じビュー内のデータは、そのデータに関連する要件を持たない他のユーザーがアクセスできないようにする必要がある場合があります。
分析特権は、オブジェクトレベルでのHANA情報ビューへのアクセスを制限するために使用されます。 Analytic Privilegesで行および列レベルのセキュリティを適用できます。
分析特権は次の目的で使用されます-
- 特定の値範囲に対する行および列レベルのセキュリティの割り当て
- ビューのモデリングのための行および列レベルのセキュリティの割り当て
パッケージの特権
SAP HANAリポジトリでは、特定のユーザーまたはロールにパッケージ認証を設定できます。 パッケージ特権は、分析ビューまたは計算ビュー、またはリポジトリオブジェクトへのデータモデルへのアクセスを許可するために使用されます。 リポジトリパッケージに割り当てられているすべての特権は、すべてのサブパッケージにも割り当てられています。 また、割り当てられたユーザー認証を他のユーザーに渡すことができるかどうかについて言及することもできます。
パッケージ特権をユーザープロファイルに追加する手順-
- *ステップ1 *-HANA studioの[ユーザー作成]で[パッケージ特権]タブをクリックし、[+]記号を選択して1つ以上のパッケージを追加します。 複数のパッケージを選択するには、Ctrlキーを使用します。
- *ステップ2 *-[リポジトリパッケージの選択]ダイアログで、パッケージ名のすべてまたは一部を使用して、アクセスを許可するリポジトリパッケージを見つけます。
- *ステップ3 *-アクセスを許可する1つ以上のリポジトリパッケージを選択すると、選択したパッケージが[パッケージ権限]タブに表示されます。
以下の付与特権は、オブジェクトを変更することをユーザーに許可するために、リポジトリパッケージで使用されます-
- REPO.READ -選択したパッケージおよび設計時オブジェクト(ネイティブおよびインポート済みの両方)への読み取りアクセス
- REPO.EDIT_NATIVE_OBJECTS -パッケージ内のオブジェクトを変更する権限
- 他者に付与
これに「はい」を選択すると、割り当てられたユーザー認証が他のユーザーに渡されます。
アプリケーション特権
HANA XSアプリケーションへのアクセス許可を定義するために使用されるユーザープロファイルのアプリケーション特権。 これは、個々のユーザーまたはユーザーのグループに割り当てることができます。 アプリケーション特権を使用して、データベース管理者に高度な機能を提供したり、通常のユーザーに読み取り専用アクセスを提供するなど、同じアプリケーションに異なるレベルのアクセスを提供することもできます。
ユーザープロファイルでアプリケーション固有の特権を定義するか、ユーザーのグループを追加するには、次の特権を使用する必要があります-
- アプリケーション特権ファイル(.xsprivileges)
- アプリケーションアクセスファイル(.xsaccess)
- 役割定義ファイル(<役割名> .hdbrole)