Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

Sichere Entwicklung mit SAP HANA XSA

Native Anwendungsentwicklung in SAP HANA®

Von Thomas Tiede, IBS Schreiber GmbH

Mit SAP HANA 1.0 SPS11 wurde SAP HANA Extended Application Services, Advanced Model (SAP HANA XSA) eingeführt. Dieses Modell basiert auf dem Microservice-Ansatz und ermöglicht eine Modularisierung der Software-Entwicklung. Hierdurch sind unterschiedliche Deployments (voneinander getrennte Entwicklungsumgebungen) innerhalb einer einzigen SAP HANA-Datenbank möglich. Jede Anwendung wird dabei in einem eigenen Container gespeichert und hat ihre eigene Laufzeitumgebung. Dadurch beeinträchtigen eventuell Probleme der Anwendung andere Anwendungen nicht.

Beim Einsatz von SAP HANA XSA sind verschiedene Sicherheitskriterien zu beachten, damit die Anwendungsentwicklung anforderungsgerecht berechtigt werden kann. Verwaltet wird SAP HANA XSA mit dem SAP HANA XSA Cockpit. Hier werden die Benutzer und Berechtigungen verwaltet sowie die Sicherheitskonfiguration. Zu letzterer gehören z.B. die Tenants, die von hier aus verwaltet werden können, und die Verwaltung der SAML Identity Provider. In der Benutzerverwaltung können neue Benutzer angelegt oder bestehende SAP HANA Benutzer zu XSA-Benutzern migriert werden. Die Berechtigung hierfür werden über sogeannte Role Collections vergeben. Zur Benutzerverwaltung ist z.B. die Role Collection XS_USER_ADMIN erforderlich, zur Verwaltung von Rollen die Role Collection XS_AUTHORIZATION_ADMIN. Zur reinen Anzeige stehen die Standard-Role Collections XS_AUTHORIZATION_DISPLAY und XS_USER_DISPLAY zur Verfügung. Die Nachvollziehbarkeit der Benutzer- und Berechtigungsverwaltung wird über das Auditing der SAP HANA-Datenbank ermöglicht, hier sind die entsprechenden Auditing-Aktionen zu aktivieren.

Die Grundstruktur von SAP HANA XSA besteht aus Organizations und Spaces. Innerhalb der Spaces werden die Applikationen entwickelt. Organizations sind Container zur Strukturierung der Spaces. Entwickler werden den Spaces zugeordnet. Sie müssen zuvor als Benutzerstammsatz angelegt sein. Bei der Zuordnung zu den Spaces werden den Benutzern die Berechtigungen zugeordnet. Dabei wird unterschieden nach einem Space Manager (Pflege der Benutzerzuordnung zum Space und Anzeige und Auswertung der Applikationen), Space Developer (Einbinden, Starten und Stoppen von Anwendungen, Zuordnung von Anwendungen zu Services) und Space Auditor (Anzeige und Auswertung der Anwendungen und der Benutzerzuordnungen zum Space). Hiermit wird somit festgelegt, welche Benutzer innerhalb des Space als Entwickler tätig sind. Auf der Ebene der Organizations kann mit der Berechtigung Organization Manager die Pflege der Benutzerzuordnung zur Organization und die Pflege der Spaces in der Organization berechtigt werden. Protokolliert werden Änderungen an Organizations und Spaces in einer Trace-Datei im Betriebssystem. Sie können z.B. mit dem SAP HANA Database Explorer ausgewertet werden.

Die zentrale Entwicklungsplattform für SAPUI5-Anwendungen ist das SAP WebIDE (IDE = Integrated Development Environment). Unterstützt werden verschiedene Sprachen, wie Java, Java Script, SAPUI5 HTML5, Node.js etc. WebIDE kann sowohl für OnPremise-Applikationen genutzt werden (SAP HANA XSA) als auch als zentrale Entwicklungs-Anwendung für die SAP Cloud Platform (Cloud Foundry). Zur Nutzung des SAP WebIDE müssen den Entwicklern Berechtigungen in SAP HANA XSA zugeordnet werden. Hierfür existieren bereits zwei Vorlage-Rollen, WebIDE_Developer und WebIDE_Administrator. Um Benutzer zur Anwendungsentwicklung zu berechtigen, muss eine Rolle vom Template WebIDE_Developer abgeleitet werden. Für die Implementierung von Berechtigungen in Eigenentwicklungen, sind unternehmensinterne Vorgaben zu definieren. Auch können Aktionen in die Eigenentwicklungen integriert werden, die über das SAP HANA Auditing protokolliert werden. Dafür existiert im Auditing die Kategorie Application Auditing, in der u.a. Aktionen wie PERSONAL DATA ACCESS und PERSONAL DATA MODIFICATION aufgezeichnet werden können.

Für den Einsatz von SAP HANA XSA ist somit ein eigenes Sicherheits- und Berechtigungskonzept zu erstellen, welches auch regelmäßig überprüft wird.

Thomas Tiede ist Geschäftsführer der IBS Schreiber GmbH und Autor der Bücher „Sicherheit und Prüfung von SAP-Systemen“ und „SAP HANA® – Sicherheit und Berechtigungen“ (beide SAP Press). Die IBS Schreiber GmbH bietet seit über 25 Jahren zum Thema SAP Security Seminare an, führt Prüfungen und Projekte durch und entwickelt die Security-Software CheckAud®.

Hier können Sie die englische Veröffentlichung des Artikels lesen.

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Audit & Consulting