SAP HANA Datenbank

SAP HANA nutzt die In-Memory-Technologie für die Datenspeicherung und ermöglicht so eine flexible Analyse großer, nicht aggregierter Datenmengen mit sehr kurzen Bearbeitungszeiten. Da die Datenverarbeitung in SAP HANA sich von SAP NetWeaver unterscheidet, verfügt es über ein eigenes Benutzer- und Berechtigungssystem, das mit einem eigenen Berechtigungskonzept ausgestattet werden sollte.

Berechtigungskonzept für SAP HANA Datenbanken

Das Berechtigungskonzept legt Standards und Richtlinien für die Vergabe und Erstellung von Benutzern, Privilegien und Rollen auf System- und Tenant-Datenbanken fest und schafft somit eine Grundlage für ein sicheres Betriebskonzept von SAP HANA.

• Überlegungen zur Funktionstrennung zwischen Administration und Kunden/Fachbereichen (System-DB und Tenant-DBs)

• Definition der Benutzertypen "Standard" und "Restricted" sowie Regeln für den Umgang mit dem Benutzer SYSTEM

• Beschreibung der Rollen für verschiedene Benutzergruppen und Empfehlungen/Vorgaben für Repository- und HDI-Rollen

• Regelungen für die Verwendung und Berechtigung von Privilegien

• Vorgaben für die Auditierung der HANA DB

• Aufzählung der zulässigen Zugriffswege (User Interfaces, SQL-Abfragen)

• Hinweise auf rechtliche Anforderungen (z.B. DSGVO und IT-Sicherheitsgesetz)

In einem Berechtigungskonzept für SAP HANA ist es wichtig, zwischen der System-DB, die üblicherweise für administrative Zwecke genutzt wird, und den Tenant-DBs, die oft im Besitz von Kunden sind, zu unterscheiden.

Es sollte beschrieben werden, welche Funktionen von Benutzern in Bezug auf Berechtigungen benötigt werden und für welche der genannten Datenbanken diese gelten. Nur der Datenbankadministrator sollte die technische Verantwortung für HANA haben, nur der Benutzerverwalter sollte Benutzer in HANA erstellen und ändern können, und nur der Rollenadministrator sollte Rollen erstellen, ändern und transportieren dürfen.

Die Funktion des Auditors muss beschrieben werden, einschließlich der erforderlichen Berechtigungen und der Benutzer, die auditierbar sind, um die Nachvollziehbarkeit von Aktivitäten im System zu gewährleisten. Es müssen auch die Entwicklerrechte beschrieben werden, einschließlich der erforderlichen Rollen und Privilegien für die Ausübung von Entwicklungstätigkeiten und auf welcher Datenbank Entwicklung erlaubt ist.

Ein Kapitel im Berechtigungskonzept sollte die Verwaltung, Nutzung und Freigabe von Notfallbenutzern beschreiben. Die Nutzung von Standardrollen und die Möglichkeit, kundeneigene Rollen einzuschränken oder zu erstellen, sollte ebenfalls dokumentiert werden.

Schließlich sollte eine Vorgabe vorliegen, die die Berechtigung zur Erstellung von analytischen Views regelt.