SAP Business One 安全性策略-数据完整性
数据完整性
为了提高数据库中的数据完整性并确保在应用程序运行时不对数据库进行更改,你可以允许指定SAP Business One 用户在SAP Business One查询编辑器上运行只读查询.你可以将查询限制为只读语句.这意味着用户对SQL执行权限是只读,并且使用只读用户来查询数据库.
在架构服务器上注册数据库服务器
For companies to appear on the application´s logon screen,you must register the database server on the landscape server using the System Landscape Directory. 要使公司数据库显示在应用程序的登录屏幕上,你必须使用系统架构目录在架构服务器上注册数据库服务器.
注意
如果使用Microsoft Internet Explorer访问SLD 或者在Microsoft Windows Server 2008 R2 上的许可证控制中心,则必须先禁用Microsoft Internet Explorer 增强的安全配置(IE ESC),如下所示:
1. 在Microsoft Windows,选择开始→ 所有程序 → 管理工具 → 服务器管理器.
1. 在服务器管理器窗口的安全信息区域中,单击配置IE ESC.
2. 在Internet Explorer 增强的安全配置窗口,管理员和用户区域,选择关闭单选按钮.
3. 选择确定按钮.
如果你不想关闭IE ESC, 可以使用其他Web 浏览器访问SLD.
注意
如果为网页连接使用代理,则必须将任何网页服务器(例如SLD)完整主机名或IP地址添加到网页浏览器的代理例外列表中; 换句话说,不用为这些地址使用代理.
过程
要添加新数据库,请执行以下操作:
1. 要访问SLD服务,请在网页浏览器中导航到以下URL:
https://<Server Address>:
1. 在登录页面中,输入站点用户名和密码,然后选择登录按钮.
注意
站点用户名区分大小写.
2. 在服务器和公司标签,服务器区域中,选择添加按钮.
3. 在添加服务器窗口中,指定以下内容:
服务器名称— 输入要添加的数据库服务器名称和IP地址.
警告
确保安装Microsoft SQL Server 服务器的名称不包含任何特殊字符,例如:&,<,>,“, 或者 ’.
数据库认证— 选择要使用的数据库认证类型.
建议
选择数据库身份验证选项,因为Windows身份验证具有以下限制:
SAP Business One 中Windows身份验证是服务器级别配置.同一SAP Business One 服务器上的所有用户都可以使用Windows 身份验证来连接Microsoft SQL 服务器.
Windows 身份验证要求你将每台计算机加入域来维护, 但是SQL Server 身份验证则在同一SAP Business One 服务器上共享数据库用户(如sa).
Windows 身份验证要求运行SLD服务的MicrosoftWindows账户对数据库具有管理权限.
.更多有关配置受信任连接的详细信息,请参阅安全性故障排除.
数据库用户名– 输入数据库管理员账户的用户名.
数据库用户密码– 输入数据库管理员账户的密码.
1. 要添加数据库服务器,请选择确定按钮.
编辑现有数据库
在SLD编辑现有数据库服务器,请执行以下操作:
1. 登录SLD服务. 有关更多信息,请参阅在架构服务器上注册数据库服务器.
2. 在服务器和公司标签,服务器区域中,选择要编辑的数据库服务器.
3. 选择编辑按钮.
4. 在编辑服务器窗口中,指定以下内容:
数据库认证– 选择要使用的数据库认证类型.
建议
选择数据库身份验证选项,因为Windows身份验证具有以下限制:
身份验证是服务器级别配置.同一SAP Business One 服务器上的所有用户都可以使用Windows 身份验证来连接Microsoft SQL 服务器.
Windows 身份验证要求你将每台计算机加入域来维护, 但是SQL Server 身份验证则在同一SAP Business One 服务器上共享数据库用户(如sa).
Windows 身份验证要求运行SLD服务的MicrosoftWindows账户对数据库具有管理权限.
更多有关配置受信任连接的详细信息,请参阅安全性故障排除.
数据库用户名– 输入数据库管理员账户的用户名.
数据库用户密码– 输入数据库管理员账户的密码.
1. 要添加数据库服务器,请选择确定按钮.
管理加密密钥
你可以使用静态密钥或动态密钥对SAP Business One 公司数据库中的数据进行加密.
建议
我们强烈建议你使用动态密钥加密SAP Business One 数据库.
过程
要启用动态密钥的使用,请执行以下操作:
1. 登录SLD服务.有关详细信息,请参阅在架构服务器上注册数据库服务器.
2. 在安全设置标签,加密密钥管理区域中,选择启用动态密钥按钮.
注意
启用动态密钥的使用后,你可以随时生成新的动态密码.为此,请再次选择启用动态密钥按钮.
警告
启用动态密钥的使用是不可逆的过程.
3. 打开SAP Business One 客户端应用程序,依次登录到每个公司数据库,请接受更新公司数据库.
4. 请注意,必须对注册在系统框架中的所有公司数据库执行此操作.
SAP Business One 身份验证和授权
SAP Business One 具有保护数据库免遭通过直接访问简单更改的机制.
:限制对SAP Business One数据库访问的优势:
最终用户不会暴露于数据库凭据,因此无法直接更改数据库,从而保护数据库免受更改或受到攻击.
数据库凭证存储在许可证服务器中, 只有在应用程序通过许可证服务器执行成功的站点用户认证后,最终用户才能访问数据库.
限制数据库访问
SAP Business One 具有保护数据库免遭通过直接访问简单更改的机制.
限制对SAP Business One数据库访问的优势:
最终用户不会暴露于数据库凭据,因此无法直接更改数据库,从而保护数据库免受更改或受到攻击.
数据库凭证存储在系统框架目录(SLD)中, 只有在应用程序通过系统框架目录执行成功的站点用户认证后,最终用户才能访问数据库.
系统架构目录是证书信息的中央存储库,包括数据库用户ID和密码(所有SAP Business One 用户都有一个).
数据库凭据安全地存储在SLD 数据库中,具有额外的加密.
安全工作流程如下:
1. 数据库使用者,例如SAP Business One 客户端,DI-API 和服务, 提供SAP Business One 凭据(SAP Business One 用户ID和密码)以根据SLD进行身份验证.
5. 成功认证后,SLD提供其凭证,SAP Business One 使用凭据进行连接.
有关更多详细信息,请参阅技术架构.
你可以使用SLD服务为每个公司数据库创建不同的数据库用户账户.创建账户后,SAP Business One 不适用数据库管理员账户访问公司数据库.相反,SAP Business One 使用SLD 服务提供的只读账户来访问每个公司数据库.
更改安全级别
2. 你可以通过SLD对数据库访问应用不同的安全级别:
6. 要访问SLD服务,请在网页浏览器中导航到以下URL:
https://
7. 在登录页面中,输入站点用户名(B1SiteUser) 和密码,然后选择登录按钮.
注意
站点用户名区分大小写.
8. 在服务器和公司标签,选择适当的服务器.
9. 在服务器上注册的公司显示在公司区域.
10. 在公司区域, 选择要为其定义安全级别的公司,然后选择编辑按钮.
11. 在编辑公司窗口, 选择以下选项之一,然后选择确定按钮:
使用数据库管理用户:SAP Business One 使用SAP 管理员账户访问数据库
在SAP Business One 中对使用查询(系统和用户定义)的非超级用户授予只读权限,你必须手动创建只读数据库用户并将其分配给公司数据库.有关详细信息,请参阅查询.
使用指定的数据库用户:系统自动生成一对没有管理员权限的数据库用户.SAP Business One 使用其中一个数据库用户访问数据库,具体取决于特定的数据库事务.
为每个 Business One 用户使用特定的数据库用户:最安全和推荐的.系统自动为每个SAP Business One 用户生成一对没有管理员权限的数据库用户.使用其中一个数据库用户访问SAP Business One 数据库,具体取决于登陆SAP Business One 用户和特定数据库事务.
每次SAP Business One新用户添加,一对相应的数据库用户同时会添加.
对于第二个和第三个选项,你不必为了查询手动创建只读数据库用户.更多相关信息,请参阅查询.
1. 如果你择选第二个或第三个选项,你可以将SLD服务配置为自动更改在正常情况下自动创建数据库用户的密码,如下所示:
2. 安全设置标签,验证区域中,选择更改数据库用户密码<数字> 天数复选框.
3. 在密码重置之间输入天数.
4. 选择更新按钮.