Wie können Unternehmen ein angemessenes Schutzniveau für ihre SAP-HANA-Systeme herstellen? Praktische Tipps und Erfahrungen aus SAP-HANA-Erfahrungsprojekten zusammengestellt von Mitgliedern des Arbeitskreises Identity Management und Security.

SAP HANA unterstützt unterschiedliche Mechanismen zur Authentifizierung und Au­to­risierung von Benutzern, die immer dann zum Einsatz kommen, wenn Benutzer, die in der Datenbank angelegt wurden, mit der Da­tenbank kommunizieren und auf Informatio­nen zugreifen wollen. Endanwender, die über die Business Suite auf SAP HANA zugreifen, werden in erster Linie über die Anwendung selbst authentisiert und autorisiert und kom­munizieren mit SAP HANA mittels eines tech­nischen Benutzers (z. B. SAP < SID >). Dieser technische Benutzer muss separat in SAP HANA berechtigt werden, um Daten zu schrei­­ben oder Reports ausführen zu können. Hier ist es durchaus ratsam, die Empfehlungen der SAP für die technischen User besonders kritisch für die eigene Unternehmenssicherheit zu analysie­ren und entsprechend den Anforderungen bei Bedarf zu verändern. 

Authentifizierung gegenüber der Datenbank

Zur Authentifizierung von SAP-HANA-Benutzern gegenüber der Datenbank können unterschiedliche Mechanismen genutzt wer­den. SAP HANA unterstützt die Integration in die SAP-Identity-Management-Lösungen aller­­dings erst ab Identity Center 7.2 Support Pack­age (SP)03 – die Authentifizierung erfolgt auf Basis externer Single-Sign-On-Lösungen (Ker­beros, SAML oder X.509) oder per Benutzer­name und Passwort. Bei einer Implementie­rung auf Basis von Kerberos ist zu beachten, dass lediglich die Kerberos-ID geprüft wird und nicht die Kombination von Benutzername und Kerberos-ID. Entsprechend empfiehlt es sich, technische Kontrollen zu definieren, die beispielsweise verhindern, dass eine Ker­beros-ID nicht zu un­terschiedlichen Benutzer­namen zugeord­net wird und somit Funktions­trennungen aus­gehebelt werden können.

Passwort-Vorgaben definieren

Für die Authentifizierung mittels Pass­wörtern lassen sich mit sogenannten „Pass­word Policies“ Vorgaben definieren, wodurch sich die Compliance mit Vorgaben aus beste­henden Unternehmensrichtlinien herstellen lässt. Eine Dialog-Anmeldung an der HANA-Datenbank mit einem bei der Installation ausge­roll­ten technischen SAP-HANA-Stan­dard-Be­nutzer (SYS, _SYS_AFL, _SYS_DATAPROV, _SYS_REPO und _SYS_STATISTICS) wird im Übrigen durch HANA unterbunden.

Nach der Anmeldung an der SAP-HANA-Instanz kommen die HANA-internen Autorisie­rungsmechanismen zum Einsatz, um den Zu­griff der Benutzer auf Datenbankobjekte zu steuern. Der Zugriff der Benutzer erfolgt da­bei prinzipiell mittels sogenannter Privilegien. 

Sie möchten alles lesen?
Der vollständige Artikel ist DSAG-Mitgliedern vorbehalten.

Das DSAG-Mitgliedermagazin blaupause erscheint drei Mal im Jahr. Es liefert seit 2005 eine Nahaufnahme der wichtigsten Diskussionspunkte in der DSAG. Als Mitglied erhalten Sie das Magazin kostenlos als Print- und/oder Online-Version. Als DSAG-Mitglied loggen Sie sich einfach über den orangen "Anmelden"-Button oben auf der Seite ein und schon haben Sie Zugriff auf alle blaupause-Inhalte.

Sie sind noch kein DSAG-Mitglied? Informationen zu den Vorteilen einer DSAG-Mitgliedschaft erhalten Sie hier.


0 Kommentar(e)
0
(0) Bewerten Sie diesen Artikel

1-14

Aktuelles

Das könnte Sie auch interessieren

Mitgliedermagazin
blaupause

Als DSAG-Mitglied erhalten Sie automatisch Zugang zum DSAG-Mitgliedermagazin blaupause. Ob in gedruckter Form und/oder als Online-Ausgabe. Legen Sie es ganz einfach selbst in Ihrem Mitgliederprofil im DSAGNet fest.

Zum Mitgliedermagazin