SAP Authorizations

Roles de HDI en SAP HANA: ¿todo es más fácil ahora?

By s4pcademy 

SAP anuncia que con el próximo SAP HANA «grande», el componente XS Classic, incluido el repositorio de SAP HANA, se eliminará de la base de datos de SAP HANA.. El mantenimiento general de la base de datos de SAP HANA 2.05 finaliza el 31.12.2025.

Por lo tanto, quedan dos opciones para la creación de roles en la base de datos de SAP HANA en el futuro:

  • SAP HANA Cockpit o hdbsql para crear roles de catálogo
  • Funciones de SAP HANA XS Advanced Cockpit (local) o SAP Business Application Studio (nube) para HDI (infraestructura de implementación de HANA)

Por lo tanto, vale la pena echar un vistazo a los roles HDI comparativamente nuevos como un estándar futuro para administrar las autorizaciones de acceso en una base de datos SAP HANA, así como para las aplicaciones XS Advanced. En este blog, discutiremos el enfoque general para crear roles de HDI.

Debido a las desventajas predominantes de los roles de catálogo, anteriormente se recomendaba implementar un concepto de rol de SAP HANA, que funciona principalmente con roles de repositorio para eliminar las limitaciones conocidas del catálogo (especialmente el control de versiones y los propietarios de objetos). Con los roles de HDI, estas limitaciones se han eliminado y el repositorio ya no parece ser necesario. Los roles de HDI representan un mayor desarrollo de los roles de catálogo, mientras que los roles de repositorio se vuelven obsoletos.

XSA Web IDE (entorno de desarrollo integrado WEB)

El ‘nuevo’ WEB IDE, basado en XS Advanced Engine, es, como cualquier aplicación XS Advanced, accesible a través de un puerto dedicado. El comando «xs login» emitido como adm en el nivel del sistema operativo Linux y la autenticación como, por ejemplo, xsa_admin permite que todas las aplicaciones XS Advanced y sus puertos se enumeren a través del comando «xs apps»:

Figura 1: aplicaciones XSA con puertos https

Para poder crear objetos como roles en la base de datos XSA Web IDE, primero debe crear un ESPACIO debajo de la organización en SAP HANA XS Advanced Cockpit:

Figura 2: Espacios de la cabina del XSA

Un espacio dentro del XSA es comparable a un paquete de ABAP Workbench. Solo los desarrolladores con el rol de desarrollador de espacio en el espacio respectivo pueden crear y mantener objetos dentro de este. SAP entrega objetos a través del espacio “SAP”, los clientes pueden o deben crear sus propios espacios, por ejemplo, desarrollo, producción o seguridad. Se recomienda encarecidamente crear un espacio separado para la creación/revisión de roles, al que solo tengan acceso los responsables de seguridad. Los espacios permiten la protección de acceso lógico porque los recursos solo se comparten dentro de un espacio.

El nombre del cliente generalmente se almacena como la organización, pero se pueden crear varias organizaciones. El nombre de la organización no debe cambiarse después, consulte Organización y espacios.

SAP HANA XS Advanced tiene un concepto de rol y usuario independiente que está separado de ABAP. En el siguiente ejemplo, primero se crea un usuario en el espacio «Seguridad» en SAP HANA XS Advanced Cockpit con el rol Desarrollador:

Figura 3: Administración de usuarios del espacio

A continuación, el espacio recién creado se asigna a la base de datos de inquilinos:

Figura 4: Asignación de espacio a inquilino

Una vez completado, puede comenzar a crear roles utilizando XSA Web IDE 2.0. El IDE de PortWeb es 53075 por defecto.

https://nombre de host:53075

Nota: Web IDE 2.0 es fundamentalmente diferente del conocido anteriormente como «Web IDE» (XS Classic) o «Web-based Development Workbench». La Web IDE 2.0 está totalmente orientada al desarrollo con SAP HANA XS Advanced. Como resultado, ya no es posible crear objetos de repositorio en SAP HANA en este nuevo entorno de desarrollo. Los roles HDI son los únicos admitidos.

Figura 5: XSA Web IDE 2.0

Se crea un nuevo proyecto dentro del espacio de trabajo seleccionando Nuevo -> Proyecto desde plantilla:

Figura 6: Creando un nuevo proyecto en la web IDE 2.0
Figura 7: Crear un nuevo proyecto MTA

Los roles de HDI se crean en un proyecto de aplicación multiobjetivo, mientras que las vistas de cálculo, las tablas, etc. se crean como una aplicación de base de datos SAP HANA.

Ein Bild, das Text enthält. Automatisch generierte Beschreibung
Figura 8: Proporcione el nombre del proyecto

Nombre proporcionado, siguiente

Ein Bild, das Text enthält. Automatisch generierte Beschreibung
Figura 9: Asignar MTA a un espacio

Cuando se haya creado el nuevo proyecto, se deben llamar las configuraciones del proyecto:

Ein Bild, das Tisch enthält.
Figura 10: Configuración del proyecto

A continuación, se debe instalar un constructor de espacios en el espacio recién creado. Esto tomará unos pocos minutos:

Figura 11: Generador de espacio de instalación
Ein Bild, das Text enthält. Automatisch generierte Beschreibung
Figura 12: Space Builder instalado

A continuación, se debe crear un módulo de base de datos de SAP HANA a través de Proyecto MTA > Nuevo > Módulo de base de datos de SAP HANA.

Ein Bild, das Text enthält. Automatisch generierte Beschreibung
Figura 13: Nuevo módulo HDB
Ein Bild, das Text enthält. Automatisch generierte Beschreibung
Figura 14: Nombre del módulo HDB
Figura 15: Personalización del módulo HDB

El espacio de nombres se puede eliminar. El nombre del esquema debe mantenerse de la misma manera que el nombre del proyecto. Seleccione «Construir módulo después de la creación» y complete. El proceso tarda unos minutos. Los usuarios técnicos y de esquema ahora se crean automáticamente en segundo plano:

Figura 16: Administración de usuarios de la cabina de HANA

Este usuario creado HDB_ROLLEN_1#OO es el propietario del contenedor/esquema en el que se crean los roles.

A través de ‘Crear’, se crearon nuevas carpetas y archivos en el IDE web de XSA:

Ein Bild, das Text enthält. Automatisch generierte Beschreibung
Figura 17: estructura del MTA

Los objetos de desarrollo, como los roles, ahora se pueden crear en la carpeta «src»:

Figura 18: Creación de nuevos objetos HDB

Ahora puede crear nuevas carpetas para diferentes roles aquí, por ejemplo, UserAdmin, BasisAdmin, etc. o directamente, sin carpeta:

Figura 19: Crear nuevos roles

También puede dejar el espacio de nombres vacío aquí y crear el rol.

Figura 20: Editor gráfico de roles

En XS Advanced Web IDE Role Editor, ahora se pueden agregar, cambiar o revocar privilegios de la manera conocida. El rol siempre debe guardarse y regenerarse (-> Build).

Figura 21: Cree el proyecto MTA

La compilación falla porque el propietario del contenedor HDB_ROLLEN_1#OO carece del privilegio, que debe incluirse en el rol:

Figura 22: Registro de errores

El propietario del contenedor debe poseer y poder transmitir los privilegios que se incluyen en el rol:

Figura 23: Asignación de privilegios HANA cockpit

Un nuevo intento de compilar el MTA ahora es exitoso: 14:21:50 (Generador) La compilación de /HDB_ROLLEN/HDB se completó con éxito.

Para poder asignar los roles de HDI desde un contenedor/esquema a un usuario, se requiere el privilegio del sistema de administración de roles o un procedimiento SQL:

Otorgar a un usuario un rol desde el esquema del contenedor SAP HDI

Pero es importante tener en cuenta que: Si se retiran los privilegios del propietario del contenedor, también se eliminan del rol: Error: com.sap.hana.di.role: Error de base de datos 258:: privilegio insuficiente:…

De ahí la recomendación urgente de crear un usuario «restringido» con los privilegios requeridos, con el indicador ‘pasar’ en la base de datos de inquilinos y en la Administración avanzada XS con rol de desarrollador, para usar este usuario para proporcionar a los usuarios de Container#OO con el sistema necesario, Objeto y Privilegios Analíticos.

La ventaja del usuario restringido es que no es posible iniciar sesión en hdbsql en la base de datos de HANA.

Consulte la documentación en las Recomendaciones de Buenas Prácticas para el desarrollo de roles en la base de datos de SAP HANA.

Preguntas más frecuentes

1) hacer funciones del IDH proveer control de versiones como los roles de repositorio?

También está disponible el control de versiones y el historial de los roles, con la opción de almacenarlos en un repositorio GIT local o remoto.

2) ¿Es posible acceder a datos fuera del ‘contenedor rodante’, por ejemplo, vistas en otros esquemas o contenedores?

No, esto requiere la creación de un servicio ‘definido por el usuario’ en la Administración avanzada de XS.

3) ¿Es posible migrar roles de un contenedor a otro?

No.

4) ¿Se pueden ‘mezclar’ los roles de XS Classic y XS Advanced?

No es posible mezclar los roles XS Classic y XS Advanced.

5) ¿Cómo se pueden transportar los roles avanzados de XS desde la base de datos HANA de desarrollo a las bases de datos de destino?

No se puede utilizar el transporte nativo a través de HANA DB Lifecycle Management, basado en XS Classic y Delivery Units. Como alternativa, la implementación está disponible a través de un repositorio GIT central o un contenedor de transporte ABAP para HANA. Mira aquí.

Conclusión sobre roles HDI y manejo de XS Advanced

Pasar de roles de repositorio a roles de HDI no facilita la creación de roles; el proceso en la nube con el BAS (Business Application Studio) es muy similar. Al final del mantenimiento general el 31 de diciembre de 2025, la herramienta de migración para migrar objetos del repositorio a objetos HDI habrá experimentado mejoras adicionales.

Se recomienda enfáticamente familiarizarse con las posibilidades del desarrollo de XS Advanced lo suficientemente pronto, porque incluso si los usuarios finales no tienen acceso directo a la base de datos, se requiere un concepto de autorización para los administradores de la base de datos.


ahorafácilHANAHDImásRolesSAPtodo

Artículos relacionados


2302 Release  ·  Product Information
¡La versión de febrero de 2023 de SAP Marketing Cloud ya está aquí!
automated warehouse  ·  Product Information  ·  robotics  ·  robots
SAP Warehouse Robotics: Guía de integración para Geek+ RMS
#api  ·  #odata  ·  #OdataV4  ·  Product Information  ·  SAP Analytics Cloud data export service
Noticias sobre el servicio de exportación de datos en la nube de SAP Analytics (+ un anuncio emocionante)

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*


Ajustes de privacidad

Decida qué cookies quiere permitir. Puede cambiar estos ajustes en cualquier momento. Sin embargo, esto puede hacer que algunas funciones dejen de estar disponibles. Para obtener información sobre eliminar las cookies, por favor consulte la función de ayuda de su navegador. Aprenda más sobre las cookies que usamos.

Con el deslizador, puede habilitar o deshabilitar los diferentes tipos de cookies:

  • Bloquear todas
  • Essentials
  • Funcionalidad
  • Análisis
  • Publicidad

Este sitio web hará:

Este sitio web no:

  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Recuerde sus detalles de inicio de sesión
  • Esencial: recuerde su configuración de permiso de cookie
  • Esencial: Permitir cookies de sesión
  • Esencial: Reúna la información que ingresa en un formulario de contacto, boletín informativo y otros formularios en todas las páginas
  • Esencial: haga un seguimiento de lo que ingresa en un carrito de compras
  • Esencial: autentica que has iniciado sesión en tu cuenta de usuario
  • Esencial: recuerda la versión de idioma que seleccionaste
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Guardar y cerrar