SAP HANA - 安全概述

---

安全意味着保护公司的关键数据免遭未经授权的访问和使用，并确保按照公司政策满足合规性和标准。SAP HANA 使客户能够实施不同的安全策略和程序，并满足公司的合规性要求。

SAP HANA 在单个 HANA 系统中支持多个数据库，这称为多租户数据库容器。HANA 系统还可以包含多个多租户数据库容器。多容器系统始终只有一个系统数据库和任意数量的多租户数据库容器。此环境中安装的 SAP HANA 系统由单个系统 ID (SID) 标识。HANA系统中的数据库容器通过SID和数据库名称来标识。SAP HANA 客户端（称为 HANA studio）连接到特定数据库。

SAP HANA 提供所有与安全相关的功能，例如身份验证、授权、加密和审核，以及其他多租户数据库不支持的一些附加功能。

下面给出的是 SAP HANA 提供的安全相关功能的列表 -

• 用户和角色管理
• 身份验证和单点登录
• 授权
• 网络数据通信的加密
• 持久层数据加密

多租户 HANA 数据库的附加功能 -

• 数据库隔离- 它涉及通过操作系统机制防止跨租户攻击

• 配置更改黑名单- 它涉及防止租户数据库管理员更改某些系统属性

• 受限功能- 它涉及禁用某些提供对文件系统、网络或其他资源的直接访问的数据库功能。

SAP HANA 用户和角色管理

SAP HANA 用户和角色管理配置取决于 HANA 系统的架构。

• 如果 SAP HANA 与 BI 平台工具集成并充当报告数据库，则最终用户和角色在应用程序服务器中进行管理。

• 如果最终用户直接连接到SAP HANA数据库，则最终用户和管理员都需要HANA系统数据库层的用户和角色。

每个想要使用 HANA 数据库的用户都必须拥有具有必要权限的数据库用户。根据访问要求，访问HANA系统的用户可以是技术用户或最终用户。成功登录系统后，将验证用户执行所需操作的授权。执行该操作取决于用户已被授予的权限。可以使用 HANA 安全性中的角色授予这些权限。HANA Studio 是管理 HANA 数据库系统用户和角色的强大工具之一。

用户类型

用户类型根据安全策略和用户配置文件上分配的不同权限而变化。用户类型可以是技术数据库用户或最终用户需要访问 HANA 系统以进行报告或数据操作。

标准用户

标准用户是可以在自己的模式中创建对象并在系统信息模型中具有读取访问权限的用户。读取访问权限由分配给每个标准用户的 PUBLIC 角色提供。

受限用户

受限用户是指通过某些应用程序访问HANA系统的用户，他们没有HANA系统上的SQL权限。创建这些用户时，他们最初没有任何访问权限。

如果我们将受限用户与标准用户进行比较 -

• 受限用户无法在 HANA 数据库或自己的架构中创建对象。

• 他们无权查看数据库中的任何数据，因为他们没有像标准用户一样将通用公共角色添加到配置文件中。

• 他们只能使用 HTTP/HTTPS 连接到 HANA 数据库。