本博客的目的是解释GRC风险分析功能如何适用于HANA DB用户和角色，并分享一些HANA DB访问风险（SoD和关键访问），我在少数项目中遇到了这些风险，SAP也建议将其作为HANA安全检查表的一部分。

设计HANA DB规则集非常重要具有挑战性，因为HANA DB授权涉及不同类型的访问权限，这些权限可以直接分配给用户，也可以通过角色分配给用户。

HANA DB中不同类型的权限如下：

HANA DB中的访问模型设置

为HANA DB用户和用户设置和测试风险分析功能角色，首先必须执行SAP GRC系统与HANA DB的基本集成。下面讨论的细节将更详细地介绍技术设置，包括从GRC到HANA DB的DB连接设置，在HANA DB中部署交付单元等

使用事务代码DBCO在GRC系统中创建HANA数据库连接器（数据库连接维护）

DB连接：填写DB连接名称。此名称将在连接器设置中使用，因此相应地命名它。

DBMS:选择数据库管理系统的类型为"HDB"（HANA数据库）

用户名和密码：连接到HANA DB的有效用户身份验证详细信息。用户应该已经在HANA DB中创建并分配了所需的权限。

由于RFC用户（本例中为GRC\ FF）用于GRC和HANA DB之间的集成，而不是用于交互使用或手动登录数据库，低价云服务器，因此建议禁用此用户的密码（即不需要更改密码）。

您可以使用以下SQL命令执行此操作：

ALTER USER GRC\u FF DISABLE PASSWORD LIFETIMECONNECT GRC\u FF PASSWORD

连接信息：HANA数据库系统详细信息（主机名详细信息和端口号）

输入上述所有必需的详细信息后保存数据库连接。

HANA数据库连接可以使用ABAP报告"ADBC\u TEST\u Connection"

执行事务SE38并运行报告"ADBC\u TEST\u CONNECTION"

HANA DB CONNECTION也可以使用事务"dbaccompt"进行验证。

在SM59中创建一个连接器，其连接类型为"L"（逻辑目标），连接器名称与在DBCO中创建的连接相同。

在以下IMG路径中定义连接器

SPRO->IMG->GRC->Common Component设置->集成框架->维护连接器和连接类型->定义连接器

在以下IMG路径中定义连接器组，并将HANA DB连接器分配给该连接器组

SPRO->IMG->GRC->通用组件设置->集成框架->维护连接器和连接类型->定义连接器组

维护连接设置

连接器必须分配给所有集成场景（AM、ROLMG、SUPMG、AUTH、，公有云市场，PROV）可用，因为这是一个好的实践。

SPRO->IMG->GRC->通用组件设置->集成框架->维护连接设置

维护连接器设置

在以下路径中维护连接器设置：

SPRO->IMG->GRC->访问控制->维护连接器设置

HANA中的交付单元部署DB

将单元部署到HANA DB中并激活HANA DB中AC文件夹下的SQL过程是一个先决条件，必须按照以下SAP注释中提到的步骤进行操作：

https://launchpad.support.sap.com/#/notes/1869912

GRC程序激活

详细介绍如何在ARA下对应SQL程序SAP Note 1869912中提供了需要激活的ARQ文件夹。

ARA文件夹下的SQL程序–只需按任意顺序执行

ARQ文件夹下的SQL程序–首先执行以"IS"或"INS"开头的程序，然后执行以"GRANT"和"REVOKE"开头的程序，最后执行剩余的程序程序。

"GET\u USERS\u SYNC"程序的更新版本通过以下SAP说明发布。因此，请从便笺下载并激活它，因为默认情况下它不会更新到最新版本。

2451688–存储库同步作业未从HANA同步回用户有效期

但是，在激活SQL过程中，云免服务器购买，您会遇到一些错误，如下文所述。请仔细阅读注释，返利平台，然后执行注释中所附的相应过程以解决错误：

2671192–GRC HANA插件启用HANA 2.0 SPS 03

获取操作权限_信息.sql过程仍可能引发错误。请使用如下代码进行修复：

以下注释中提到的手动步骤也必须在HANA studio或Web IDE中执行，即使您使用的是最新版本12.0，返利商城系统开发，因为ARQ文件夹中有一些更新需要在HANA DB中手动更新。

以下注释中提到的手动步骤也必须在HANA中执行studio或Web IDE，即使您使用的是最新版本12.0，因为ARQ文件夹中的程序有一些更新，需要在HANA DB中手动更新。

2482955–重新设计HANA插件中的日志和消息

以提高角色风险分析的性能，按照以下说明更新HANA系统中的GET_ROLE_PERMISSION sql过程：

2729781–针对HANA系统进行角色级风险分析的性能升级

HANA DB规则集（职责分离和关键访问规则）

关键访问（CA）：用户可以控制系统的敏感或特权任务影响其完整性或可能对系统有很大影响，应仅分配给某些授权用户组。

以下是HANA DB的一些建议的关键访问风险：

CA风险#1：

CA风险#2：

CA风险#3：

CA风险#4：

CA风险#5：

CA风险#6：

CA风险#7：

CA风险#8：

CA风险#9：

隔离职责（SOD）：有意识地分离访问以执行某些功能，其中当访问被同时授予单个用户时可以执行欺诈活动

SOD风险｜1：

SOD风险｜2：

SOD风险｜3：

SOD风险｜4：

GRC中的HANA DB规则配置

下面是GRC中为HANA配置的一些功能DB.

功能1：用户管理权限

功能2：角色管理权限

SoD风险：用户管理权限与角色管理权限

SoD风险：用户管理权限与角色管理权限（生成的规则）

GRC中的HANA DB风险分析

为了测试用户风险分析，我创建了一个具有访问权限的测试用户ID（EXT\u MADS）用户管理和角色管理系统权限。

用户级风险分析

结果

对于测试角色风险分析，我使用了PI管理角色，该角色具有访问用户管理和角色管理系统权限。

角色级风险分析