Sap-hana-user-administration-role-management
ユーザー管理とロール管理
テクニカルデータベースユーザーは、データベース内での新しいオブジェクトの作成、他のユーザー、パッケージ、アプリケーションなどへの特権の割り当てなどの管理目的でのみ使用されます。
SAP HANAユーザー管理アクティビティ
HANAシステムのビジネスニーズと構成に応じて、HANA studioなどのユーザー管理ツールを使用して実行できるさまざまなユーザーアクティビティがあります。
最も一般的な活動は次のとおりです-
- ユーザーを作成する
- ユーザーに役割を付与する
- 役割の定義と作成
- ユーザーを削除する
- ユーザーパスワードのリセット
- ログオン試行の失敗が多すぎる場合のユーザーの再アクティブ化
- 必要なときにユーザーを無効にする
HANA Studioでユーザーを作成する方法は?
システム権限ROLE ADMINを持つデータベースユーザーのみが、HANA studioでユーザーとロールを作成できます。 HANAスタジオでユーザーとロールを作成するには、HANA管理者コンソールに移動します。 あなたは、システムビューにセキュリティタブが表示されます-
セキュリティタブを展開すると、ユーザーとロールのオプションが表示されます。 新しいユーザーを作成するには、[ユーザー]を右クリックして[新しいユーザー]に移動します。 ユーザーおよびユーザーパラメーターを定義する新しいウィンドウが開きます。
ユーザー名(義務)を入力し、認証フィールドにパスワードを入力します。 パスワードが適用され、新しいユーザーのパスワードが保存されます。 制限ユーザーを作成することもできます。
指定されたロール名は、既存のユーザーまたはロールの名前と同一であってはなりません。 パスワードルールには、パスワードの最小長と、パスワードの一部である必要がある文字タイプ(下位、上位、数字、特殊文字)の定義が含まれます。
SAML、X509証明書、SAPログオンチケットなど、さまざまな認証方法を設定できます。 データベース内のユーザーは、さまざまなメカニズムによって認証されます-
パスワードを使用した内部認証メカニズム。
Kerberos、SAML、SAPログオンチケット、SAPアサーションチケット、X.509などの外部メカニズム。
ユーザーは、一度に複数のメカニズムによって認証されます。 ただし、Kerberosに対して有効なパスワードとプリンシパル名は一度に1つだけです。 ユーザーがデータベースインスタンスに接続して作業できるようにするには、1つの認証メカニズムを指定する必要があります。
また、ユーザーの有効期間を定義するオプションも提供されます。日付を選択することで有効期間を指定できます。 有効性の指定は、オプションのユーザーパラメーターです。
デフォルトでSAP HANAデータベースとともに提供されるユーザーには、SYS、SYSTEM、_SYS_REPO、_SYS_STATISTICSなどがあります。
これが完了したら、次の手順はユーザープロファイルの特権を定義することです。 ユーザープロファイルに追加できるさまざまな種類の特権があります。
ユーザーに付与されたロール
これは、組み込みのSAP.HANAロールをユーザープロファイルに追加するか、[ロール]タブで作成されたカスタムロールを追加するために使用されます。 カスタムロールを使用すると、アクセス要件ごとにロールを定義でき、これらのロールをユーザープロファイルに直接追加できます。 これにより、さまざまなアクセスタイプに対して毎回オブジェクトを覚えてユーザープロファイルに追加する必要がなくなります。
*PUBLIC* -これは汎用ロールであり、デフォルトですべてのデータベースユーザーに割り当てられます。 このロールには、システムビューへの読み取り専用アクセスと、一部のプロシージャの実行権限が含まれています。 これらの役割を取り消すことはできません。
モデリング
SAP HANAスタジオで情報モデラーを使用するために必要なすべての特権が含まれています。
システム権限
ユーザープロファイルに追加できるシステム権限にはさまざまな種類があります。 ユーザープロファイルにシステム権限を追加するには、+記号をクリックします。
システム権限は、バックアップ/復元、ユーザー管理、インスタンスの起動と停止などに使用されます。
コンテンツ管理者
これには、MODELINGロールと同様の特権が含まれていますが、このロールがこれらの特権を他のユーザーに付与できることも追加されています。 また、インポートされたオブジェクトを操作するリポジトリ権限も含まれています。
データ管理者
これは、オブジェクトのデータをユーザープロファイルに追加するために必要な一種の特権です。
以下は、サポートされている一般的なシステム権限です-
デバッガーの接続
別のユーザーによって呼び出されるプロシージャ呼び出しのデバッグを許可します。 さらに、対応するプロシージャのDEBUG特権が必要です。
監査管理者
以下の監査関連コマンドの実行を制御します-CREATE AUDIT POLICY、DROP AUDIT POLICY、ALTER AUDIT POLICY、および監査構成の変更。 また、AUDIT_LOGシステムビューへのアクセスを許可します。
監査オペレーター
次のコマンドの実行を許可します-ALTER SYSTEM CLEAR AUDIT LOG。 また、AUDIT_LOGシステムビューへのアクセスを許可します。
バックアップ管理者
バックアップおよびリカバリ手順を定義および開始するためのBACKUPおよびRECOVERYコマンドを許可します。
バックアップオペレーター
バックアッププロセスを開始するBACKUPコマンドを許可します。
カタログ読み取り
すべてのシステムビューへのフィルターなしの読み取り専用アクセスをユーザーに許可します。 通常、これらのビューのコンテンツは、アクセスしているユーザーの権限に基づいてフィルタリングされます。
スキーマを作成
CREATE SCHEMAコマンドを使用して、データベーススキーマの作成を許可します。 デフォルトでは、各ユーザーは1つのスキーマを所有しており、この特権により、ユーザーは追加のスキーマを作成できます。
構造化特権の作成
構造化特権(分析特権)の作成を許可します。 分析特権の所有者のみが、他のユーザーまたはロールにその特権をさらに付与または取り消すことができます。
資格管理者
クレデンシャルコマンド-CREATE/ALTER/DROP CREDENTIALを許可します。
データ管理者
システムビュー内のすべてのデータの読み取りを許可します。 また、SAP HANAデータベースでデータ定義言語(DDL)コマンドを実行できます。
この権限を持つユーザーは、アクセス権限を持たないデータ保存テーブルを選択または変更できませんが、テーブルを削除したり、テーブル定義を変更したりできます。
データベース管理者
CREATE、DROP、ALTER、RENAME、BACKUP、RECOVERYなど、マルチデータベース内のデータベースに関連するすべてのコマンドを許可します。
輸出する
EXPORT TABLEコマンドを使用して、データベース内のエクスポートアクティビティを許可します。
この特権に加えて、ユーザーはエクスポートするソーステーブルに対するSELECT特権を必要とすることに注意してください。
インポート
IMPORTコマンドを使用して、データベース内のインポートアクティビティを許可します。
この特権に加えて、ユーザーはインポートするターゲットテーブルに対するINSERT特権を必要とすることに注意してください。
Inifile Admin
システム設定の変更を許可します。
ライセンス管理者
SET SYSTEM LICENSEコマンドが新しいライセンスをインストールすることを許可します。
ログ管理者
ALTER SYSTEM LOGGING [ON | OFF]コマンドを許可して、ログフラッシュメカニズムを有効または無効にします。
管理者を監視する
EVENTのALTER SYSTEMコマンドを許可します。
オプティマイザー管理
SQL PLAN CACHEおよびALTER SYSTEM UPDATE STATISTICSコマンドに関するALTER SYSTEMコマンドを許可します。これらのコマンドは、クエリオプティマイザーの動作に影響を与えます。
リソース管理者
この権限は、システムリソースに関するコマンドを許可します。 たとえば、ALTER SYSTEM RECLAIM DATAVOLUMEおよびALTER SYSTEM RESET MONITORING VIEW。 また、管理コンソールで使用可能な多くのコマンドを許可します。
ロール管理者
この権限は、CREATE ROLEおよびDROP ROLEコマンドを使用してロールの作成と削除を許可します。 また、GRANTおよびREVOKEコマンドを使用して、ロールの付与と取り消しを許可します。
アクティブ化されたロール、つまり作成者が事前定義されたユーザー_SYS_REPOであるロールは、他のロールまたはユーザーに付与することも、直接ドロップすることもできません。 ROLE ADMIN特権を持っているユーザーでさえもそうすることはできません。 アクティブ化されたオブジェクトに関するドキュメントを確認してください。
セーブポイント管理者
ALTER SYSTEM SAVEPOINTコマンドを使用して、セーブポイントプロセスの実行を許可します。
SAP HANAデータベースのコンポーネントは、新しいシステム権限を作成できます。 これらの特権は、システム特権の最初の識別子としてcomponent-nameを使用し、2番目の識別子としてcomponent-privilege-nameを使用します。
オブジェクト/SQL特権
オブジェクト権限は、SQL権限とも呼ばれます。 これらの特権は、テーブル、ビュー、スキーマの選択、挿入、更新、削除などのオブジェクトへのアクセスを許可するために使用されます。
オブジェクト権限の可能なタイプは以下のとおりです-
- ランタイムにのみ存在するデータベースオブジェクトのオブジェクト権限
- 計算ビューなど、リポジトリで作成されたアクティブ化されたオブジェクトのオブジェクト権限
- リポジトリで作成されたアクティブ化されたオブジェクトを含むスキーマのオブジェクト権限、
- オブジェクト/SQL特権は、データベースオブジェクトに対するすべてのDDLおよびDML特権のコレクションです。
以下は、サポートされている一般的なオブジェクト権限です-
HANAデータベースには複数のデータベースオブジェクトがあるため、すべての権限がすべての種類のデータベースオブジェクトに適用できるわけではありません。
オブジェクト特権とデータベースオブジェクトへの適用性-
分析特権
場合によっては、同じビュー内のデータに、そのデータに関連する要件を持たない他のユーザーがアクセスできないようにする必要があります。
分析特権は、オブジェクトレベルでのHANA情報ビューへのアクセスを制限するために使用されます。 Analytic Privilegesで行および列レベルのセキュリティを適用できます。
分析特権は次の目的で使用されます-
- 特定の値範囲に対する行および列レベルのセキュリティの割り当て。
- ビューのモデリングのための行および列レベルのセキュリティの割り当て。
パッケージの特権
SAP HANAリポジトリでは、特定のユーザーまたはロールにパッケージ認証を設定できます。 パッケージ権限は、分析ビューまたは計算ビュー、またはリポジトリオブジェクトへのデータモデルへのアクセスを許可するために使用されます。 リポジトリパッケージに割り当てられているすべての特権は、すべてのサブパッケージにも割り当てられています。 割り当てられたユーザーの承認を他のユーザーに渡すことができるかどうかについても言及できます。
パッケージ特権をユーザープロファイルに追加する手順-
- HANA studioの[ユーザーの作成]で[パッケージ特権]タブをクリックし、[+ 1つ以上のパッケージを追加します。 複数のパッケージを選択するには、Ctrlキーを使用します。
- [リポジトリパッケージの選択]ダイアログで、パッケージ名のすべてまたは一部を使用して、アクセスを許可するリポジトリパッケージを見つけます。
- アクセスを許可する1つ以上のリポジトリパッケージを選択すると、選択したパッケージが[パッケージ権限]タブに表示されます。
以下に付与された権限は、オブジェクトを変更することをユーザーに許可するためにリポジトリパッケージで使用されます-
- REPO.READ -選択したパッケージおよび設計時オブジェクト(ネイティブおよびインポート済みの両方)への読み取りアクセス
- REPO.EDIT_NATIVE_OBJECTS -パッケージ内のオブジェクトを変更する権限。
- 他者に付与-このオプションで「はい」を選択すると、割り当てられたユーザー認証が他のユーザーに渡されます。
アプリケーション特権
ユーザープロファイルのアプリケーション権限は、HANA XSアプリケーションへのアクセスの承認を定義するために使用されます。 これは、個々のユーザーまたはユーザーのグループに割り当てることができます。 アプリケーション特権を使用して、データベース管理者に高度な機能を提供したり、通常のユーザーに読み取り専用アクセスを提供するなど、同じアプリケーションに異なるレベルのアクセスを提供することもできます。
ユーザープロファイルでアプリケーション固有の特権を定義するか、ユーザーのグループを追加するには、以下の特権を使用する必要があります-
- アプリケーション特権ファイル(.xsprivileges)
- アプリケーションアクセスファイル(.xsaccess)
- 役割定義ファイル(<役割名> .hdbrole)