SAP HANA 数据库安全（新增和更改）

SAP HANA 平台 2.0 SPS 08 引入了新的和更改的安全功能。

用户和角色管理（新增和更改）

• 现在，您可以使用 IP/网络地址、应用程序和验证方法条件限制用户组成员的连接。备注使用 SAP HANA 主控室通过 IP/网络地址和应用程序限制连接。此方法不适用于验证方法，仅适用于 SQL 合并。连接限制

  身份验证（新增和更改）

• X.509 证书的现有匹配规则字符串现在支持 '?'作为附加通配符。如果属性与 '?' 匹配，将忽略其内容。基于 X.509 证书的用户验证

• 现在，您可以通过查看系统视图 SYS.AUTHENTICATION_ERROR_DETAILS 或应用程序 SAP HANA 主控室中的验证失败来解决 SQL 连接的验证错误。排除验证问题

  权限（新增和已更改）

• 两个新参数限制 _SYS_REPO 用户通过 .hdbrole 文件部署的资源库角色访问受限系统权限的权限： blocked_system_privileges_for_sys_repo_user：指定 _SYS_REPO 用户无法授予资源库角色的以逗号分隔的系统特权列表。与 blocked_system_privileges_for_sys_repo_user_activation_mode 结合使用，您可以在角色激活期间管理阻塞时的错误处理。blocked_system_privileges_for_sys_repo_user_activation_mode：角色部件的激活模式，包含冻结的系统权限。异常列表在 'blocked_system_privileges_for_sys_repo_user' 参数中指定。“错误”：如果工件包含冻结的系统权限，则资源库角色的激活因错误而失败。“警告”：资源库角色的激活成功，并在激活模式 'IMPORT' 下发出警告。角色使用所有定义的权限（被阻止 权限除外）创建。配置参数 SPS 08

• blocked_system_privileges_for_sys_repo_user：指定 _SYS_REPO 用户无法授予资源库角色的以逗号分隔的系统特权列表。与 blocked_system_privileges_for_sys_repo_user_activation_mode 结合使用，您可以在角色激活期间管理阻塞时的错误处理。

• blocked_system_privileges_for_sys_repo_user_activation_mode：角色部件的激活模式，包含冻结的系统权限。异常列表在 'blocked_system_privileges_for_sys_repo_user' 参数中指定。“错误”：如果工件包含冻结的系统权限，则资源库角色的激活因错误而失败。“警告”：资源库角色的激活成功，并在激活模式 'IMPORT' 下发出警告。角色使用所有定义的权限（被阻止 权限除外）创建。

  通信安全（新增和已更改）

• SQL 连接现在支持传输层安全 (TLS) 协议版本 1.3。

  加密配置和加密密钥管理（新增和更改）

• 本地安全存储 (LSS) 备份现在包含在 SAP HANA 数据库备份中。这意味着只能使用本地安全存储备份密码恢复备份；不再需要创建和存储本地安全存储备份，并最终在恢复 SAP HANA 数据库之前恢复备份。

• 所有新实例都可以直接使用 CTR 安装（通过 hdblcm），旧实例可以通过 SQL 迁移到 CTR。