SAP Business One 安全性策略-數(shù)據(jù)完整性
數(shù)據(jù)完整性
為了提高數(shù)據(jù)庫中的數(shù)據(jù)完整性并確保在應用程序運行時不對數(shù)據(jù)庫進行更改,你可以允許指定SAP Business One 用戶在SAP Business One查詢編輯器上運行只讀查詢.你可以將查詢限制為只讀語句.這意味著用戶對SQL執(zhí)行權限是只讀,并且使用只讀用戶來查詢數(shù)據(jù)庫.
在架構服務器上注冊數(shù)據(jù)庫服務器
For companies to appear on the application′s logon screen,you must register the database server on the landscape server using the System Landscape Directory. 要使公司數(shù)據(jù)庫顯示在應用程序的登錄屏幕上,你必須使用系統(tǒng)架構目錄在架構服務器上注冊數(shù)據(jù)庫服務器.
注意
如果使用Microsoft Internet Explorer訪問SLD 或者在Microsoft Windows Server 2008 R2 上的許可證控制中心,則必須先禁用Microsoft Internet Explorer 增強的安全配置(IE ESC),如下所示:
1. 在Microsoft Windows,選擇開始→ 所有程序 → 管理工具 → 服務器管理器.
1. 在服務器管理器窗口的安全信息區(qū)域中,單擊配置IE ESC.
2. 在Internet Explorer 增強的安全配置窗口,管理員和用戶區(qū)域,選擇關閉單選按鈕.
3. 選擇確定按鈕.
如果你不想關閉IE ESC, 可以使用其他Web 瀏覽器訪問SLD.
注意
如果為網(wǎng)頁連接使用代理,則必須將任何網(wǎng)頁服務器(例如SLD)完整主機名或IP地址添加到網(wǎng)頁瀏覽器的代理例外列表中; 換句話說,不用為這些地址使用代理.
過程
要添加新數(shù)據(jù)庫,請執(zhí)行以下操作:
1. 要訪問SLD服務,請在網(wǎng)頁瀏覽器中導航到以下URL:
https://<Server Address>:
1. 在登錄頁面中,輸入站點用戶名和密碼,然后選擇登錄按鈕.
注意
站點用戶名區(qū)分大小寫.
2. 在服務器和公司標簽,服務器區(qū)域中,選擇添加按鈕.
3. 在添加服務器窗口中,指定以下內(nèi)容:
服務器名稱— 輸入要添加的數(shù)據(jù)庫服務器名稱和IP地址.
警告
確保安裝Microsoft SQL Server 服務器的名稱不包含任何特殊字符,例如:&,<,>,“, 或者 ’.
數(shù)據(jù)庫認證— 選擇要使用的數(shù)據(jù)庫認證類型.
建議
選擇數(shù)據(jù)庫身份驗證選項,因為Windows身份驗證具有以下限制:
SAP Business One 中Windows身份驗證是服務器級別配置.同一SAP Business One 服務器上的所有用戶都可以使用Windows 身份驗證來連接Microsoft SQL 服務器.
Windows 身份驗證要求你將每臺計算機加入域來維護, 但是SQL Server 身份驗證則在同一SAP Business One 服務器上共享數(shù)據(jù)庫用戶(如sa).
Windows 身份驗證要求運行SLD服務的MicrosoftWindows賬戶對數(shù)據(jù)庫具有管理權限.
.更多有關配置受信任連接的詳細信息,請參閱安全性故障排除.
數(shù)據(jù)庫用戶名– 輸入數(shù)據(jù)庫管理員賬戶的用戶名.
數(shù)據(jù)庫用戶密碼– 輸入數(shù)據(jù)庫管理員賬戶的密碼.
1. 要添加數(shù)據(jù)庫服務器,請選擇確定按鈕.
編輯現(xiàn)有數(shù)據(jù)庫
在SLD編輯現(xiàn)有數(shù)據(jù)庫服務器,請執(zhí)行以下操作:
1. 登錄SLD服務. 有關更多信息,請參閱在架構服務器上注冊數(shù)據(jù)庫服務器.
2. 在服務器和公司標簽,服務器區(qū)域中,選擇要編輯的數(shù)據(jù)庫服務器.
3. 選擇編輯按鈕.
4. 在編輯服務器窗口中,指定以下內(nèi)容:
數(shù)據(jù)庫認證– 選擇要使用的數(shù)據(jù)庫認證類型.
建議
選擇數(shù)據(jù)庫身份驗證選項,因為Windows身份驗證具有以下限制:
身份驗證是服務器級別配置.同一SAP Business One 服務器上的所有用戶都可以使用Windows 身份驗證來連接Microsoft SQL 服務器.
Windows 身份驗證要求你將每臺計算機加入域來維護, 但是SQL Server 身份驗證則在同一SAP Business One 服務器上共享數(shù)據(jù)庫用戶(如sa).
Windows 身份驗證要求運行SLD服務的MicrosoftWindows賬戶對數(shù)據(jù)庫具有管理權限.
更多有關配置受信任連接的詳細信息,請參閱安全性故障排除.
數(shù)據(jù)庫用戶名– 輸入數(shù)據(jù)庫管理員賬戶的用戶名.
數(shù)據(jù)庫用戶密碼– 輸入數(shù)據(jù)庫管理員賬戶的密碼.
1. 要添加數(shù)據(jù)庫服務器,請選擇確定按鈕.
管理加密密鑰
你可以使用靜態(tài)密鑰或動態(tài)密鑰對SAP Business One 公司數(shù)據(jù)庫中的數(shù)據(jù)進行加密.
建議
我們強烈建議你使用動態(tài)密鑰加密SAP Business One 數(shù)據(jù)庫.
過程
要啟用動態(tài)密鑰的使用,請執(zhí)行以下操作:
1. 登錄SLD服務.有關詳細信息,請參閱在架構服務器上注冊數(shù)據(jù)庫服務器.
2. 在安全設置標簽,加密密鑰管理區(qū)域中,選擇啟用動態(tài)密鑰按鈕.
注意
啟用動態(tài)密鑰的使用后,你可以隨時生成新的動態(tài)密碼.為此,請再次選擇啟用動態(tài)密鑰按鈕.
警告
啟用動態(tài)密鑰的使用是不可逆的過程.
3. 打開SAP Business One 客戶端應用程序,依次登錄到每個公司數(shù)據(jù)庫,請接受更新公司數(shù)據(jù)庫.
4. 請注意,必須對注冊在系統(tǒng)框架中的所有公司數(shù)據(jù)庫執(zhí)行此操作.
SAP Business One 身份驗證和授權
SAP Business One 具有保護數(shù)據(jù)庫免遭通過直接訪問簡單更改的機制.
:限制對SAP Business One數(shù)據(jù)庫訪問的優(yōu)勢:
最終用戶不會暴露于數(shù)據(jù)庫憑據(jù),因此無法直接更改數(shù)據(jù)庫,從而保護數(shù)據(jù)庫免受更改或受到攻擊.
數(shù)據(jù)庫憑證存儲在許可證服務器中, 只有在應用程序通過許可證服務器執(zhí)行成功的站點用戶認證后,最終用戶才能訪問數(shù)據(jù)庫.
限制數(shù)據(jù)庫訪問
SAP Business One 具有保護數(shù)據(jù)庫免遭通過直接訪問簡單更改的機制.
限制對SAP Business One數(shù)據(jù)庫訪問的優(yōu)勢:
最終用戶不會暴露于數(shù)據(jù)庫憑據(jù),因此無法直接更改數(shù)據(jù)庫,從而保護數(shù)據(jù)庫免受更改或受到攻擊.
數(shù)據(jù)庫憑證存儲在系統(tǒng)框架目錄(SLD)中, 只有在應用程序通過系統(tǒng)框架目錄執(zhí)行成功的站點用戶認證后,最終用戶才能訪問數(shù)據(jù)庫.
系統(tǒng)架構目錄是證書信息的中央存儲庫,包括數(shù)據(jù)庫用戶ID和密碼(所有SAP Business One 用戶都有一個).
數(shù)據(jù)庫憑據(jù)安全地存儲在SLD 數(shù)據(jù)庫中,具有額外的加密.
安全工作流程如下:
1. 數(shù)據(jù)庫使用者,例如SAP Business One 客戶端,DI-API 和服務, 提供SAP Business One 憑據(jù)(SAP Business One 用戶ID和密碼)以根據(jù)SLD進行身份驗證.
5. 成功認證后,SLD提供其憑證,SAP Business One 使用憑據(jù)進行連接.
有關更多詳細信息,請參閱技術架構.
你可以使用SLD服務為每個公司數(shù)據(jù)庫創(chuàng)建不同的數(shù)據(jù)庫用戶賬戶.創(chuàng)建賬戶后,SAP Business One 不適用數(shù)據(jù)庫管理員賬戶訪問公司數(shù)據(jù)庫.相反,SAP Business One 使用SLD 服務提供的只讀賬戶來訪問每個公司數(shù)據(jù)庫.
更改安全級別
2. 你可以通過SLD對數(shù)據(jù)庫訪問應用不同的安全級別:
6. 要訪問SLD服務,請在網(wǎng)頁瀏覽器中導航到以下URL:
https://
7. 在登錄頁面中,輸入站點用戶名(B1SiteUser) 和密碼,然后選擇登錄按鈕.
注意
站點用戶名區(qū)分大小寫.
8. 在服務器和公司標簽,選擇適當?shù)姆掌?
9. 在服務器上注冊的公司顯示在公司區(qū)域.
10. 在公司區(qū)域, 選擇要為其定義安全級別的公司,然后選擇編輯按鈕.
11. 在編輯公司窗口, 選擇以下選項之一,然后選擇確定按鈕:
使用數(shù)據(jù)庫管理用戶:SAP Business One 使用SAP 管理員賬戶訪問數(shù)據(jù)庫
在SAP Business One 中對使用查詢(系統(tǒng)和用戶定義)的非超級用戶授予只讀權限,你必須手動創(chuàng)建只讀數(shù)據(jù)庫用戶并將其分配給公司數(shù)據(jù)庫.有關詳細信息,請參閱查詢.
使用指定的數(shù)據(jù)庫用戶:系統(tǒng)自動生成一對沒有管理員權限的數(shù)據(jù)庫用戶.SAP Business One 使用其中一個數(shù)據(jù)庫用戶訪問數(shù)據(jù)庫,具體取決于特定的數(shù)據(jù)庫事務.
為每個 Business One 用戶使用特定的數(shù)據(jù)庫用戶:最安全和推薦的.系統(tǒng)自動為每個SAP Business One 用戶生成一對沒有管理員權限的數(shù)據(jù)庫用戶.使用其中一個數(shù)據(jù)庫用戶訪問SAP Business One 數(shù)據(jù)庫,具體取決于登陸SAP Business One 用戶和特定數(shù)據(jù)庫事務.
每次SAP Business One新用戶添加,一對相應的數(shù)據(jù)庫用戶同時會添加.
對于第二個和第三個選項,你不必為了查詢手動創(chuàng)建只讀數(shù)據(jù)庫用戶.更多相關信息,請參閱查詢.
1. 如果你擇選第二個或第三個選項,你可以將SLD服務配置為自動更改在正常情況下自動創(chuàng)建數(shù)據(jù)庫用戶的密碼,如下所示:
2. 安全設置標簽,驗證區(qū)域中,選擇更改數(shù)據(jù)庫用戶密碼<數(shù)字> 天數(shù)復選框.
3. 在密碼重置之間輸入天數(shù).
4. 選擇更新按鈕.