商務咨詢
SAP Business One 安全性策略-數據完整性
數據完整性
為了提高數據庫中的數據完整性并確保在應用程序運行時不對數據庫進行更改,你可以允許指定SAP Business One 用戶在SAP Business One查詢編輯器上運行只讀查詢.你可以將查詢限制為只讀語句.這意味著用戶對SQL執行權限是只讀,并且使用只讀用戶來查詢數據庫.
在架構服務器上注冊數據庫服務器
For companies to appear on the application′s logon screen,you must register the database server on the landscape server using the System Landscape Directory. 要使公司數據庫顯示在應用程序的登錄屏幕上,你必須使用系統架構目錄在架構服務器上注冊數據庫服務器.
注意
如果使用Microsoft Internet Explorer訪問SLD 或者在Microsoft Windows Server 2008 R2 上的許可證控制中心,則必須先禁用Microsoft Internet Explorer 增強的安全配置(IE ESC),如下所示:
1. 在Microsoft Windows,選擇開始→ 所有程序 → 管理工具 → 服務器管理器.
1. 在服務器管理器窗口的安全信息區域中,單擊配置IE ESC.
2. 在Internet Explorer 增強的安全配置窗口,管理員和用戶區域,選擇關閉單選按鈕.
3. 選擇確定按鈕.
如果你不想關閉IE ESC, 可以使用其他Web 瀏覽器訪問SLD.
注意
如果為網頁連接使用代理,則必須將任何網頁服務器(例如SLD)完整主機名或IP地址添加到網頁瀏覽器的代理例外列表中; 換句話說,不用為這些地址使用代理.
過程
要添加新數據庫,請執行以下操作:
1. 要訪問SLD服務,請在網頁瀏覽器中導航到以下URL:
https://<Server Address>:
1. 在登錄頁面中,輸入站點用戶名和密碼,然后選擇登錄按鈕.
注意
站點用戶名區分大小寫.
2. 在服務器和公司標簽,服務器區域中,選擇添加按鈕.
3. 在添加服務器窗口中,指定以下內容:
服務器名稱— 輸入要添加的數據庫服務器名稱和IP地址.
警告
確保安裝Microsoft SQL Server 服務器的名稱不包含任何特殊字符,例如:&,<,>,“, 或者 ’.
數據庫認證— 選擇要使用的數據庫認證類型.
建議
選擇數據庫身份驗證選項,因為Windows身份驗證具有以下限制:
SAP Business One 中Windows身份驗證是服務器級別配置.同一SAP Business One 服務器上的所有用戶都可以使用Windows 身份驗證來連接Microsoft SQL 服務器.
Windows 身份驗證要求你將每臺計算機加入域來維護, 但是SQL Server 身份驗證則在同一SAP Business One 服務器上共享數據庫用戶(如sa).
Windows 身份驗證要求運行SLD服務的MicrosoftWindows賬戶對數據庫具有管理權限.
.更多有關配置受信任連接的詳細信息,請參閱安全性故障排除.
數據庫用戶名– 輸入數據庫管理員賬戶的用戶名.
數據庫用戶密碼– 輸入數據庫管理員賬戶的密碼.
1. 要添加數據庫服務器,請選擇確定按鈕.
編輯現有數據庫
在SLD編輯現有數據庫服務器,請執行以下操作:
1. 登錄SLD服務. 有關更多信息,請參閱在架構服務器上注冊數據庫服務器.
2. 在服務器和公司標簽,服務器區域中,選擇要編輯的數據庫服務器.
3. 選擇編輯按鈕.
4. 在編輯服務器窗口中,指定以下內容:
數據庫認證– 選擇要使用的數據庫認證類型.
建議
選擇數據庫身份驗證選項,因為Windows身份驗證具有以下限制:
身份驗證是服務器級別配置.同一SAP Business One 服務器上的所有用戶都可以使用Windows 身份驗證來連接Microsoft SQL 服務器.
Windows 身份驗證要求你將每臺計算機加入域來維護, 但是SQL Server 身份驗證則在同一SAP Business One 服務器上共享數據庫用戶(如sa).
Windows 身份驗證要求運行SLD服務的MicrosoftWindows賬戶對數據庫具有管理權限.
更多有關配置受信任連接的詳細信息,請參閱安全性故障排除.
數據庫用戶名– 輸入數據庫管理員賬戶的用戶名.
數據庫用戶密碼– 輸入數據庫管理員賬戶的密碼.
1. 要添加數據庫服務器,請選擇確定按鈕.
管理加密密鑰
你可以使用靜態密鑰或動態密鑰對SAP Business One 公司數據庫中的數據進行加密.
建議
我們強烈建議你使用動態密鑰加密SAP Business One 數據庫.
過程
要啟用動態密鑰的使用,請執行以下操作:
1. 登錄SLD服務.有關詳細信息,請參閱在架構服務器上注冊數據庫服務器.
2. 在安全設置標簽,加密密鑰管理區域中,選擇啟用動態密鑰按鈕.
注意
啟用動態密鑰的使用后,你可以隨時生成新的動態密碼.為此,請再次選擇啟用動態密鑰按鈕.
警告
啟用動態密鑰的使用是不可逆的過程.
3. 打開SAP Business One 客戶端應用程序,依次登錄到每個公司數據庫,請接受更新公司數據庫.
4. 請注意,必須對注冊在系統框架中的所有公司數據庫執行此操作.
SAP Business One 身份驗證和授權
SAP Business One 具有保護數據庫免遭通過直接訪問簡單更改的機制.
:限制對SAP Business One數據庫訪問的優勢:
最終用戶不會暴露于數據庫憑據,因此無法直接更改數據庫,從而保護數據庫免受更改或受到攻擊.
數據庫憑證存儲在許可證服務器中, 只有在應用程序通過許可證服務器執行成功的站點用戶認證后,最終用戶才能訪問數據庫.
限制數據庫訪問
SAP Business One 具有保護數據庫免遭通過直接訪問簡單更改的機制.
限制對SAP Business One數據庫訪問的優勢:
最終用戶不會暴露于數據庫憑據,因此無法直接更改數據庫,從而保護數據庫免受更改或受到攻擊.
數據庫憑證存儲在系統框架目錄(SLD)中, 只有在應用程序通過系統框架目錄執行成功的站點用戶認證后,最終用戶才能訪問數據庫.
系統架構目錄是證書信息的中央存儲庫,包括數據庫用戶ID和密碼(所有SAP Business One 用戶都有一個).
數據庫憑據安全地存儲在SLD 數據庫中,具有額外的加密.
安全工作流程如下:
1. 數據庫使用者,例如SAP Business One 客戶端,DI-API 和服務, 提供SAP Business One 憑據(SAP Business One 用戶ID和密碼)以根據SLD進行身份驗證.
5. 成功認證后,SLD提供其憑證,SAP Business One 使用憑據進行連接.
有關更多詳細信息,請參閱技術架構.
你可以使用SLD服務為每個公司數據庫創建不同的數據庫用戶賬戶.創建賬戶后,SAP Business One 不適用數據庫管理員賬戶訪問公司數據庫.相反,SAP Business One 使用SLD 服務提供的只讀賬戶來訪問每個公司數據庫.
更改安全級別
2. 你可以通過SLD對數據庫訪問應用不同的安全級別:
6. 要訪問SLD服務,請在網頁瀏覽器中導航到以下URL:
https://
7. 在登錄頁面中,輸入站點用戶名(B1SiteUser) 和密碼,然后選擇登錄按鈕.
注意
站點用戶名區分大小寫.
8. 在服務器和公司標簽,選擇適當的服務器.
9. 在服務器上注冊的公司顯示在公司區域.
10. 在公司區域, 選擇要為其定義安全級別的公司,然后選擇編輯按鈕.
11. 在編輯公司窗口, 選擇以下選項之一,然后選擇確定按鈕:
使用數據庫管理用戶:SAP Business One 使用SAP 管理員賬戶訪問數據庫
在SAP Business One 中對使用查詢(系統和用戶定義)的非超級用戶授予只讀權限,你必須手動創建只讀數據庫用戶并將其分配給公司數據庫.有關詳細信息,請參閱查詢.
使用指定的數據庫用戶:系統自動生成一對沒有管理員權限的數據庫用戶.SAP Business One 使用其中一個數據庫用戶訪問數據庫,具體取決于特定的數據庫事務.
為每個 Business One 用戶使用特定的數據庫用戶:最安全和推薦的.系統自動為每個SAP Business One 用戶生成一對沒有管理員權限的數據庫用戶.使用其中一個數據庫用戶訪問SAP Business One 數據庫,具體取決于登陸SAP Business One 用戶和特定數據庫事務.
每次SAP Business One新用戶添加,一對相應的數據庫用戶同時會添加.
對于第二個和第三個選項,你不必為了查詢手動創建只讀數據庫用戶.更多相關信息,請參閱查詢.
1. 如果你擇選第二個或第三個選項,你可以將SLD服務配置為自動更改在正常情況下自動創建數據庫用戶的密碼,如下所示:
2. 安全設置標簽,驗證區域中,選擇更改數據庫用戶密碼<數字> 天數復選框.
3. 在密碼重置之間輸入天數.
4. 選擇更新按鈕.
