SAP HANA 用戶管理和角色管理

技術(shù)數(shù)據(jù)庫用戶僅用于管理目的，例如在數(shù)據(jù)庫中創(chuàng)建新對象，為其他用戶在包、應(yīng)用程序等上分配權(quán)限。

SAP HANA用戶管理活動

根據(jù)業(yè)務(wù)需求和HANA系統(tǒng)的配置，可以使用用戶管理工具（如HANA studio）執(zhí)行不同的用戶活動。

最常見的活動包括：

• 創(chuàng)建用戶
• 授予用戶角色
• 定義和創(chuàng)建角色
• 刪除用戶
• 重置用戶密碼
• 多次嘗試登錄失敗后重新激活用戶
• 在需要時停用用戶

如何在HANA Studio中創(chuàng)建用戶？

只有具有系統(tǒng)權(quán)限ROLE ADMIN的數(shù)據(jù)庫用戶才能在HANA studio中創(chuàng)建用戶和角色。要在HANA studio中創(chuàng)建用戶和角色，請去到HANA管理員控制臺。你將在系統(tǒng)視圖中看到安全選項卡：

當你展開安全選項卡時，它將提供用戶和角色的選項。要創(chuàng)建新用戶，請右鍵單擊用戶并轉(zhuǎn)到“New User”。新窗口將打開，你可以在其中定義用戶和用戶參數(shù)。

輸入用戶名（指令）并在認證字段中輸入密碼。應(yīng)用密碼，同時為新用戶保存密碼。你也可以選擇創(chuàng)建受限用戶。

指定的角色名稱不能與現(xiàn)有用戶或角色的名稱相同。密碼規(guī)則包括最小密碼長度和定義哪些字符類型（下限，上限，數(shù)字，特殊字符），必須是密碼的一部分。

不同的授權(quán)方法可以配置為SAML，X509證書，SAP登錄憑證等。數(shù)據(jù)庫中的用戶可以通過不同的機制進行身份驗證：

內(nèi)部認證機制使用密碼。

外部機制，如Kerberos，SAML，SAP登錄憑證，SAP斷言憑證或X.509。

用戶可以一次由多個機制來驗證。但是，Kerberos驗證一次只能有一個密碼和一個主體名稱有效。必須指定一個認證機制，以允許用戶連接并使用數(shù)據(jù)庫實例。

它還提供了定義用戶的有效性的選項，可以通過選擇日期來提及有效性間隔。有效性規(guī)范是可選的用戶參數(shù)。

默認情況下，隨SAP HANA數(shù)據(jù)庫一起提供的一些用戶是：SYS，SYSTEM，_SYS_REPO，_SYS_STATISTICS。

完成后，下一步是為用戶配置文件定義權(quán)限。有不同類型的權(quán)限可以添加到用戶配置文件。

授予用戶角色

這用于向用戶配置文件添加內(nèi)置的SAP.HANA角色或添加在“Roles”選項卡下創(chuàng)建的自定義角色。自定義角色允許你根據(jù)訪問要求定義角色，并且可以將這些角色直接添加到用戶配置文件中。這消除了每次為不同的訪問類型記住和添加對象到用戶配置文件的需要。

PUBLIC - 這是通用角色，默認情況下分配給所有數(shù)據(jù)庫用戶。此角色包含對系統(tǒng)視圖的只讀訪問權(quán)限和對某些程序的執(zhí)行權(quán)限。這些角色不能被撤銷。

MODELING - 它包含在SAP HANA studio中使用信息建模器所需的所有權(quán)限。

系統(tǒng)權(quán)限

有不同類型的系統(tǒng)權(quán)限可以添加到用戶配置文件。要向用戶配置文件添加系統(tǒng)權(quán)限，請點擊“+”符號。

系統(tǒng)權(quán)限用于備份/恢復(fù)，用戶管理，實例啟動和停止等。

內(nèi)容管理

它包含了與MODELING角色類似的權(quán)限，但除此之外，該角色允許將這些權(quán)限授予其他用戶。它還包含使用導(dǎo)入對象的存儲庫權(quán)限。

數(shù)據(jù)管理

這是將數(shù)據(jù)從對象添加到用戶配置文件所需的一種權(quán)限。

以下給出的是常見支持的系統(tǒng)權(quán)限：

附加調(diào)試器

它授權(quán)由不同用戶調(diào)用的程序調(diào)用的調(diào)試。此外，需要相應(yīng)程序的DEBUG權(quán)限。

審計管理

控制以下與審計相關(guān)的命令的執(zhí)行：CREATE AUDIT POLICY，DROP AUDIT POLICY和ALTER AUDIT POLICY以及審計配置的更改。還允許訪問AUDIT_LOG系統(tǒng)視圖。

審計操作員

它授權(quán)執(zhí)行以下命令：ALTER SYSTEM CLEAR AUDIT LOG。還允許訪問AUDIT_LOG系統(tǒng)視圖。

備份管理

它授權(quán)BACKUP和RECOVERY命令來定義和啟動備份和恢復(fù)過程。

備份操作員

它授權(quán)BACKUP命令啟動備份過程。

目錄讀取

它授權(quán)用戶對所有系統(tǒng)視圖進行未過濾的只讀訪問。通常，根據(jù)訪問用戶的權(quán)限過濾這些視圖的內(nèi)容。

創(chuàng)建模式

它授權(quán)使用CREATE SCHEMA命令創(chuàng)建數(shù)據(jù)庫模式。默認情況下，每個用戶擁有一個模式，而有此權(quán)限的用戶允許創(chuàng)建其他模式。

創(chuàng)建結(jié)構(gòu)權(quán)限

它授權(quán)創(chuàng)建結(jié)構(gòu)權(quán)限（分析權(quán)限）。只有分析權(quán)限的所有者可以進一步向其他用戶或角色授予或撤銷該權(quán)限。

證書管理

它授權(quán)證書命令： CREATE/ALTER/DROP CREDENTIAL。

數(shù)據(jù)管理

它授權(quán)讀取系統(tǒng)視圖中的所有數(shù)據(jù)。它還支持在SAP HANA數(shù)據(jù)庫中執(zhí)行任何數(shù)據(jù)定義語言（DDL）命令。

具有此權(quán)限的用戶無法選擇或更改其沒有訪問權(quán)限的數(shù)據(jù)存儲表，但可以刪除表或修改表定義。

數(shù)據(jù)庫管理

它授權(quán)與多數(shù)據(jù)庫中的數(shù)據(jù)庫相關(guān)的所有命令，例如CREATE，DROP，ALTER，RENAME，BACKUP，RECOVERY。

導(dǎo)出

它通過EXPORT TABLE命令授權(quán)數(shù)據(jù)庫中的導(dǎo)出活動。

請注意，除此權(quán)限外，用戶還需要所導(dǎo)出的源表的SELECT權(quán)限。

導(dǎo)入

它使用IMPORT命令授權(quán)數(shù)據(jù)庫中的導(dǎo)入活動。

請注意，除此權(quán)限外，用戶還需要所導(dǎo)入的目標表的INSERT權(quán)限。

配置文件管理

它授權(quán)更改系統(tǒng)設(shè)置。

許可證管理

它授權(quán)SET SYSTEM LICENSE命令安裝新的許可證。

日志管理

它授權(quán)ALTER SYSTEM LOGGING [ON|OFF]命令啟用或禁用日志刷新機制。

監(jiān)控管理

它授權(quán)EVENT的ALTER SYSTEM命令。

優(yōu)化器管理

它授權(quán)關(guān)于影響查詢優(yōu)化器行為的SQL PLAN CACHE和ALTER SYSTEM UPDATE STATISTICS命令的ALTER SYSTEM命令。

資源管理

此權(quán)限授權(quán)有關(guān)系統(tǒng)資源的命令。例如，ALTER SYSTEM RECLAIM DATAVOLUME和ALTER SYSTEM RESET MONITORING VIEW。它還授權(quán)管理控制臺中可用的許多命令。

角色管理

此權(quán)限授權(quán)使用CREATE ROLE和DROP ROLE命令創(chuàng)建和刪除角色。它還授權(quán)使用GRANT和REVOKE命令授予和撤銷角色。

激活的角色，意味著創(chuàng)建者是預(yù)定義用戶_SYS_REPO的角色，既不能被授予其他角色或用戶，也不能直接刪除。即使具有ROLE ADMIN權(quán)限的用戶也不能這樣做。請檢查有關(guān)激活對象的文檔。

保存點管理

它使用ALTER SYSTEM SAVEPOINT命令授權(quán)執(zhí)行保存點進程。

SAP HANA數(shù)據(jù)庫的組件可以創(chuàng)建新的系統(tǒng)權(quán)限。這些權(quán)限使用組件名稱作為系統(tǒng)權(quán)限的第一個標識符，而使用組件權(quán)限名稱作為第二個標識符。

對象/SQL權(quán)限

對象權(quán)限也稱為SQL權(quán)限。這些權(quán)限用于允許訪問諸如表，視圖或模式的選擇，插入，更新和刪除。

下面給出了對象權(quán)限的可能類型：

• 僅在運行時存在的數(shù)據(jù)庫對象的對象權(quán)限

• 存儲庫中創(chuàng)建的已激活對象（如計算視圖）的對象權(quán)限

• 包含存儲庫中創(chuàng)建的已激活對象的模式的對象權(quán)限

• 對象/SQL權(quán)限是數(shù)據(jù)庫對象的所有DDL和DML權(quán)限的集合。

以下是常見支持的對象權(quán)限：

HANA數(shù)據(jù)庫中有多個數(shù)據(jù)庫對象，因此并非所有的權(quán)限都適用于各種數(shù)據(jù)庫對象。

對象權(quán)限及其在數(shù)據(jù)庫對象上的適用性：

分析權(quán)限

有時，要求同一視圖中的數(shù)據(jù)不應(yīng)該被其他對這些數(shù)據(jù)沒有任何相關(guān)要求的用戶訪問。

分析權(quán)限用于在對象級別限制HANA信息視圖的訪問。我們可以在分析權(quán)限中應(yīng)用行和列級別的安全性。

分析權(quán)限用于：

• 為特定的值范圍分配行和列級別的安全性。
• 為建模視圖分配行和列級別的安全性。

包權(quán)限

在SAP HANA存儲庫中，你可以為特定用戶或角色設(shè)置包權(quán)限。包權(quán)限用于允許訪問數(shù)據(jù)模型 - 分析或計算視圖或存儲庫對象。所有分配給存儲庫包的權(quán)限也被分配給所有的子包。你還可以提及是否可以將分配的用戶權(quán)限傳遞給其他用戶。

將包權(quán)限添加到用戶配置文件的步驟：

• 在HANA studio的“User creation”下點擊“Package privilege”選項卡→“Choose”+添加一個或多個包。使用Ctrl鍵選擇多個包。

• 在“Select Repository Package”對話框中，使用全部或部分包名稱來查找要授權(quán)訪問的存儲庫包。

• 選擇要授權(quán)訪問的一個或多個存儲庫包，所選包將顯示在“Package Privileges”選項卡中。

下面給出的是授予權(quán)限，這些權(quán)限在存儲庫包中用于授權(quán)用戶修改對象：

• REPO.READ - 讀取所選包和設(shè)計時對象（包括本機和導(dǎo)入）

• REPO.EDIT_NATIVE_OBJECTS - 授權(quán)修改包中的對象。

• Grantable to Others - 如果你選擇“是”，則允許已分配的用戶權(quán)限傳遞給其他用戶。

應(yīng)用程序權(quán)限

用戶配置文件中的應(yīng)用程序權(quán)限用于定義訪問HANA XS應(yīng)用程序的授權(quán)。這可以分配給單個用戶或用戶組。應(yīng)用程序權(quán)限還可用于為同一應(yīng)用程序提供不同級別的訪問權(quán)限，如為數(shù)據(jù)庫管理員提供高級功能和對普通用戶提供只讀訪問權(quán)限。

要在用戶配置文件中定義應(yīng)用程序特定權(quán)限或添加用戶組，應(yīng)使用以下權(quán)限：

• 應(yīng)用程序權(quán)限文件（.xsprivileges）
• 應(yīng)用程序訪問文件（.xsaccess）
• 角色定義文件（<RoleName>.hdbrole）