SAP ERP

SAP ERP je software pro plánování podnikových zdrojů vyvinutý společností SAP SE. SAP ERP zahrnuje klíčové obchodní funkce organizace. Konektor SAP ERP umožňuje vyvolat funkce RFC a BAPI pomocí místní brány dat.

Tento konektor je dostupný v následujících produktech a oblastech:

Service	Class	Regions
Copilot Studio	Premium	Všechny Power Automate regiony
Power Apps	Premium	Všechny oblasti Power Apps
Power Automate	Premium	Všechny Power Automate regiony

Kontakt
Název	Microsoft
URL	https://learn.microsoft.com/connectors/saperp/

Metadata konektoru
Vydavatel	Microsoft
Internetová stránka	https://www.sap.com/products/enterprise-management-erp.html
Zásady ochrany osobních údajů	https://www.sap.com/about/legal/privacy.html
Kategorie	Produktivita

Použití konektoru SAP ERP

Pokud chcete začít používat tento konektor, přečtěte si následující blogové příspěvky:

Pre-requisites

Konektor SAP ERP je závislý na následujících součástech, které musí být nainstalované na stejném počítači:

Místní brána dat (verze z října 2023 – 3000.194 nebo vyšší)
Microsoft C++ Runtime DLL verze 14.x (Visual Studio 2015, 2017, 2019 a 2022) ( závislost SAP NCo)
SAP .NET Connector ze SAP
- Zvolte 64bitovou verzi NCo 3.1 (nepodporuje se 32bitová verze).
- Neinstalujte NCo 3.0 (nepodporované)
- Vyžaduje platný uživatel S-user pro přístup ke stažení. Možná se budete muset spojit se svým týmem SAP.

Autorizace SAP

Váš uživatelský účet SAP potřebuje přístup ke RFC_METADATA skupině funkcí a příslušným modulům funkcí pro následující operace:

Operations	Přístup k modulům funkcí
Akce RFC	`RFC_GROUP_SEARCH`, `DD_LANGU_TO_ISOLA`
Akce BAPI	`BAPI_TRANSACTION_COMMIT`, `BAPI_TRANSACTION_ROLLBACK`, `RPY_BOR_TREE_INIT`, , `SWO_QUERY_METHODSSWO_QUERY_API_METHODS`
Akce IDoc	`IDOCTYPES_LIST_WITH_MESSAGES`, `IDOCTYPES_FOR_MESTYPE_READ`, `INBOUND_IDOCS_FOR_TID`, `OUTBOUND_IDOCS_FOR_TID`, , `GET_STATUS_FROM_IDOCNRIDOC_RECORD_READ`
Akce čtení tabulky SAP	`RFC BBP_RFC_READ_TABLE` nebo `RFC_READ_TABLE`
Minimální přístup	`RFC_METADATA_GET`, `RFC_METADATA_GET_TIMESTAMP`

Autentizace

Konektor podporuje OVĚŘOVÁNÍ SAP, Ověřování systému Windows, Microsoft Entra ID s protokolem Kerberos a Microsoft Entra ID s certifikáty.

Vzhledem k tomu, že konektor je navržený tak, aby ho používalo více uživatelů aplikace, připojení se nesdílí. Místo toho se každý uživatel ověří v systému SAP. Přihlašovací údaje uživatele jsou k dispozici v připojení, zatímco v rámci akce jsou k dispozici další podrobnosti potřebné pro připojení k systému SAP (jako jsou podrobnosti o serveru, konfigurace zabezpečení).

Ověřování SAP

Základní ověřování SAP pomocí uživatelského jména a hesla SAP

Ověřování systému Windows

Vyžaduje další nastavení pro zabezpečenou síťovou komunikaci (SNC). Vyžaduje další nastavení jednotného přihlašování založeného na protokolu Kerberos z Power Platform na místní zdroje dat.

Microsoft Entra ID (s protokolem Kerberos)

Microsoft Entra ID (s certifikáty)

Vyžaduje další nastavení pro zabezpečenou síťovou komunikaci (SNC). Vyžaduje další nastavení jednotného přihlašování založeného na certifikátech z Power Platform na místní zdroje dat.

Konfigurace jednotného přihlašování založeného na protokolu Kerberos

Název SAP SNC pro uživatele (p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM) se musí shodovat s plně kvalifikovaným názvem domény Microsoft Entra ID (JANEDOE@REDMOND.CORP.CONTOSO.COM) pro ověřování Windows i Microsoft Entra ID.

Sap SNC Name

Vlastnictví	Description
Použití SNC	Pokud chcete povolit SNC, nastavte na Ano.
Knihovna SNC	Název knihovny SNC nebo cesta vzhledem k umístění instalace NCo nebo absolutní cesta. Příklady jsou `sapcrypto.dll` nebo `.\security\sapcrypto.dll`nebo `c:\security\sapcrypto.dll`.
Jednotné přihlašování SNC	Určuje, jestli konektor použije identitu služby nebo přihlašovací údaje koncového uživatele.
SNC My Name	V případě potřeby zadejte identitu, která se má použít.
Název partnera SNC	Název back-endového serveru SNC
SNC Quality of Protection	Kvalita služby, která se má použít pro komunikaci SNC tohoto konkrétního cíle nebo serveru. Výchozí hodnota je definována back-endovým systémem. Maximální hodnota je definována produktem zabezpečení používaným pro SNC.

Pokud je pro konektor SAP ERP potřeba Microsoft Entra ID nebo ověřování systému Windows, musíte:

Konfigurace jednotného přihlašování založeného na protokolu Kerberos z Power Platform na místní zdroje dat
Konfigurace SAP ERP pro povolení pomocí knihovny CommonCryptoLib (sapcrypto.dll)

Předpoklady konfigurace jednotného přihlašování založeného na protokolu Kerberos z Power Platform na místní zdroje dat

Po instalaci brány dat se brána spustí jako účet místní služby počítače NT Service\PBIEgwService. Pokud chcete povolit omezené delegování Kerberos, máte dvě možnosti:

Brána musí běžet jako účet domény, viz dokumentace ke změně účtu služby brány ; nebo
Požádejte instanci Microsoft Entra ID synchronizovanou s místní instancí Microsoft Entra ID (pomocí nástroje Microsoft Entra ID DirSync/Connect).

Kroky konfigurace:

Získání oprávnění správce domény ke konfiguraci hlavních názvů služeb (SetSPN) a nastavení omezeného delegování protokolu Kerberos
Konfigurace omezeného delegování protokolu Kerberos pro bránu a zdroj dat
Konfigurace hlavního názvu služby (SPN) pro účet služby brány
V případě potřeby přidejte účet služby brány do skupiny autorizace systému Windows a přístupové skupiny.
Rozhodněte se o typu omezeného delegování Kerberos, které se má použít:
- Konfigurace účtu služby brány pro standardní omezené delegování kerberos
- Konfigurace účtu služby brány pro omezené delegování kerberos založeného na prostředcích
Udělení oprávnění k místním zásadám účtu služby brány na počítači brány
Nastavení parametrů konfigurace mapování uživatelů na počítači brány (v případě potřeby)

Další podrobnosti o tom, jak to nakonfigurovat, najdete v dokumentaci k Power BI pro konfiguraci jednotného přihlašování založeného na protokolu Kerberos ze služby Power BI do místních zdrojů dat.

Konfigurace SAP ERP pro povolení pomocí knihovny CommonCryptoLib (sapcrypto.dll)

Ujistěte se, že je váš server SAP ERP správně nakonfigurovaný pro jednotné přihlašování přes Kerberos pomocí knihovny CommonCryptoLib. Pokud ano, můžete použít jednotné přihlašování pro přístup k serveru SAP ERP pomocí nástroje SAP, jako je SAP GUI, který je nakonfigurovaný tak, aby používal CommonCryptoLib. Další informace o krocích nastavení najdete v tématu Jednotné přihlašování SAP: Ověřování pomocí protokolu Kerberos/SPNEGO. Váš server by měl jako knihovnu SNC používat CommonCryptoLib a měl by mít název SNC, který začíná cn. Další informace o požadavcích na název SNC (konkrétně snc/identity/as parametr) najdete v tématu Parametry SNC pro konfiguraci protokolu Kerberos.
Ujistěte se, že na počítači, na kterém je brána nainstalovaná, není spuštěný klient SAP Secure Login Client (SLC). SLC ukládá lístky Kerberos do mezipaměti způsobem, který může narušit schopnost brány používat Protokol Kerberos pro jednotné přihlašování. Pokud je SLC nainstalovaný, odinstalujte ho nebo se ujistěte, že ukončete klienta SAP Secure Login Client. Klikněte pravým tlačítkem myši na ikonu na hlavním panelu systému a před pokusem o připojení přes jednotné přihlašování pomocí brány vyberte Odhlásit se a ukončit. SLC se nepodporuje pro použití na počítačích s Windows Serverem. Další informace najdete v tématu SAP Note 2780475 (vyžaduje se s-uživatel).

Klient SAP Secure Login Client

Pokud odinstalujete SLC nebo vyberete Odhlásit se a ukončit, otevřete okno cmd a před pokusem o připojení přes bránu vymažte klist purge všechny lístky Kerberos uložené v mezipaměti.
Z launchpadu SAP stáhněte 64bitovou verzi CommonCryptoLib (sapcrypto.dll) verze 8.5.25 nebo novější a zkopírujte ji do složky na počítači brány. Ve stejném adresáři, ve kterém jste zkopírovali sapcrypto.dll, vytvořte soubor s názvem sapcrypto.inis následujícím obsahem:

ccl/snc/enable_kerberos_in_client_role = 1

Soubor .ini obsahuje informace o konfiguraci vyžadované službou CommonCryptoLib k povolení jednotného přihlašování ve scénáři brány.

Poznámka:

Tyto soubory musí být uloženy ve stejném umístění; jinými slovy, /path/to/sapcrypto/ měla by obsahovat obojí sapcrypto.ini i sapcrypto.dll.

Uživatel služby brány i uživatel Microsoft Entra ID, který uživatel služby zosobňuje, musí pro oba soubory číst a spouštět oprávnění. Doporučujeme udělit oprávnění pro skupinu Authenticated Users i .ini.dll pro soubory. Pro účely testování můžete tato oprávnění explicitně udělit uživateli služby brány i uživateli Microsoft Entra ID, který používáte k testování. Na následujícím snímku obrazovky jsme udělili oprávnění ke čtení a spuštění skupiny Authenticated Users pro sapcrypto.dll:

Udělení oprávnění ke čtení a spuštění pro oprávnění udělovaných ověřeným uživatelům

Pokud ještě nemáte zdroj dat SAP BW přidružený k bráně, kterou má připojení přes jednotné přihlašování procházet, přidejte ho na stránku Spravovat brány ve službě Power BI. Pokud už takový zdroj dat máte, upravte ho:

Pokud chcete vytvořit připojení jednotného přihlašování k aplikačnímu serveru BW, zvolte jako typ zdroje dat SAP Business Warehouse.
Pokud chcete vytvořit připojení jednotného přihlašování k serveru zpráv BW, vyberte Sap Business Warehouse Message Server.

Vytvořte systémovou proměnnou CCL_PROFILE prostředí a nastavte její hodnotu na cestu k sapcrypto.ini.

CCL_PROFILE proměnná systémového prostředí:

Vytváření a nastavení systémových proměnných prostředí

.ini Soubory sapcrypto.dll musí existovat ve stejném umístění. V předchozím příkladu sapcrypto.ini se sapcrypto.dll oba nacházejí na ploše.

Restartujte službu brány.

Restartujte službu brány

Ověřování Microsoft Entra ID

Tento typ ověřování bude fungovat pouze s následujícími akcemi:

Volání funkce SAP (V2)
Vytvoření stavové relace
Čtení tabulky SAP s parsováním

Účet instančního objektu SAP PRO MICROSOFT Entra ID musí mít definovaný msDS-SupportedEncryptionType atribut AES 128 nebo AES 256. Tento blogový příspěvek obsahuje tabulku , která pomáhá vypočítat desetinné nebo šestnáctkové hodnoty pro podporované typy šifrování.

Známé problémy a omezení

Tady jsou některé známé problémy a omezení konektoru SAP ERP:

Konektor podporuje pouze rfcs a BAPI.
Konektor nepodporuje příjem zpráv ze SAP Serveru.
Transakční rfcs (tRFCS) nejsou podporovány.
Brána má limit 2 MB datové části pro operace zápisu a 8 MB komprimované odpovědi na data pro operace čtení.
Clustery brány dat v režimu vyrovnávání zatížení nejsou podporovány stavovými akcemi SAP. Stavová komunikace musí zůstat na stejném uzlu clusteru brány dat. V případě stavových akcí SAP použijte bránu dat buď v režimu bez clusteru, nebo v clusteru, který je nastavený jenom pro převzetí služeb při selhání.
Pokud se při vytváření toku zobrazí chyba podobná této: Upgradujte místní bránu dat na nejnovější verzi : Length of the name of the RFC '<RFC_NAME>?honorSapOptionalFlag=1' is larger than the maximum allowed limit of 30
Parametry RFC/BAPI načtené ze SAP se ukládají do mezipaměti v rámci místní brány dat. Restartujte službu místní brány dat, aby se mezipaměť vymaže a načetla nové hodnoty.

Shromažďování protokolů

Následující protokoly jsou užitečné při řešení potíží s konektorem SapErp při kontaktování podpory Microsoftu:

Povolte Additional logging v Diagnostics nastavení místní aplikace brány dat, abyste získali Informational rozšířené protokoly adaptéru SAP a trasování adaptéru SapErp.
V konfiguračním souboru Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.configaktualizujte následující nastavení . Tento konfigurační soubor se obvykle nachází tam, kde je nainstalovaná místní brána dat (např. C:\Program Files\On-premises data gateway\Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config).
```
<setting name="SapTraceLevel" serializeAs="String">
   <value>Verbose</value>
</setting>
```

Pokyny k vlastnostem systému SAP

V případě akcí, které podporují SAP system parametr, použijte následující tabulku s pokyny.

Vlastnictví	Description
AppServerHost	Název hostitele aplikačního serveru SAP.
AppServerService	Název služby nebo číslo portu konkrétního aplikačního serveru SAP pro připojení (volitelné pro typ připojení (Přihlášení) A – Aplikační server).
Klient	ID klienta SAP pro připojení k systému SAP. Klient back-endů SAP (nebo Mandant), ke kterému se chcete přihlásit. Jedná se o číslo od 000 do 999.
Jazyk	Kód jazyka pro připojení k systému SAP pomocí. Dvoumísmenný kód ISO 639-1. Musí se nainstalovat v rámci SAP. Tím se přepíše nastavení jazyka prohlížeče.
LogonGroup	Přihlašovací skupina pro systém SAP, ze kterého server zpráv vybere aplikační server (k dispozici pouze v případě, že typ připojení (Logon) je B - Message Server (skupina)).
LogonType	Typ přihlášení k systému SAP, přihlášení aplikačního serveru (typ A) nebo přihlášení ke skupině (typ B aka Message Server). Povolené hodnoty: ApplicationServer, Group
MessageServerHost	Název hostitele serveru zpráv systému SAP (centrální instance) aka R3 Název systému (povinný, pokud je typ připojení (Přihlášení) B – Server zpráv (skupina)).
MessageServerService	Název služby (definovaný v etc/services) nebo číslo portu, pod kterým server zpráv naslouchá požadavkům vyrovnávání zatížení (povinné, pokud je typ připojení (Přihlášení) B – Server zpráv (skupina) a ID systému není k dispozici).
SafeTyping	Při vytváření připojení SAP se ve výchozím nastavení používá silné psaní ke kontrole neplatných hodnot provedením ověření schématu. Toto chování vám může pomoct odhalit problémy dříve. Možnost Bezpečné psaní je k dispozici pro zpětnou kompatibilitu a kontroluje pouze délku řetězce. Povolené hodnoty: true, false
SncCertificate	Certifikát X.509 ve formuláři s kódováním Base64 bez počáteční nebo koncové značky certifikátu
SncMyName	Nainstalované řešení SNC obvykle zná vlastní název SNC. U řešení podporujících více identit možná budete muset zadat identitu, která se má použít pro tento cílový/server (volitelné). U tohoto parametru se rozlišují malá a velká písmena, proto u správců SAP Basis zkontrolujte správnou hodnotu.
SncLibraryPath	Název nebo cesta knihovny SNC, která se má použít. U místní brány dat může být cesta absolutní nebo relativní k knihovně NCo.
SncPartnerName	Název SNC back-endů (požadováno, pokud je typ přihlášení aplikačním serverem). U tohoto parametru se rozlišují malá a velká písmena, proto u správců SAP Basis zkontrolujte správnou hodnotu.
SncQop	Kvalita služby, která se má použít pro komunikaci SNC tohoto cílového/serveru. Povolené hodnoty: Ověřování, Integrita, Ochrana osobních údajů, Výchozí, Maximum
SncSso	Jednotné přihlašování SNC určuje, jestli se má použít identita SNC nebo přihlašovací údaje zadané na úrovni RFC.
SsoCertificateSubject	Předmět certifikátu na počítači s Windows OPDG pro ověřování na základě certifikátu pomocí Microsoft Entra ID
Id systému	ID systému SAP se třemi písmeny (povinné, pokud je typ připojení (Přihlášení) B – Server zpráv (skupina) a Služba serveru zpráv není k dispozici.
Číslo systému	Systémové číslo systému SAP. Jedná se o číslo od 00 do 99 (povinné, pokud je typ připojení (Přihlášení) A – Aplikační server).
UseSnc	Pokud je tato možnost vybraná, připojení budou zabezpečená pomocí SNC. Povolené hodnoty: Ano

Migrace z `Call SAP Function` do `Call SAP Function (v2)`

Tato Call SAP Function podpora byla vyřazena v červenci 2023 a podpora skončí v červenci 2026. Uživatelé budou muset před tímto časem migrovat své stávající akce v1 nebo se jejich toky přeruší.

Nahraďte více polí formuláře jedním řetězcem JSON pro vlastnosti připojení.
Použijte následující mapování vlastností:

Popisek pole v1	Vlastnost v2
Hostitel AS	AppServerHost
Klient	Klient
Systémové číslo AS	Číslo systému
Název funkce SAP	Není k dispozici – není relevantní pro připojovací řetězec
Stavová relace	Není k dispozici – Stavové relace jsou k dispozici v rozšířených možnostech, kde je možné zadat ID pro `Session Id`. Kroky se stejnými `Session Id` kroky se spustí jako součást stejné stavové relace.
Použití SNC	UseSnc
Knihovna SNC	SncLibraryPath
Jednotné přihlašování SNC	SncSso
SNC My Name	SncMyName
Název partnera SNC	SncPartnerName
SNC Quality of Protection	SncQop

Example

Volání funkce SAP V1:

Volání funkce SAP v1

Volání funkce SAP V2:

Volání funkce SAP v2

Na snímku obrazovky by připojovací řetězec vypadal takto:

{
  "AppServerHost": "sap.example.com",
  "Client": 100,
  "SystemNumber": "00"
}

Vzhledem k tomu Use SNC , že na snímku obrazovky je "Ne", není potřeba žádná vlastnost. Výchozí hodnota je false.

Použití proměnných prostředí

Toky integrované v řešeních můžou tyto připojovací řetězce spravovat pomocí proměnných prostředí. Toto je doporučená metoda, protože umožňuje změnit parametry připojení na základě prostředí. Pokud váš tok není v řešení, ponechte řetězec praktický pro kopírování a vložení.

Obecné limity

Název	Hodnota
Maximální počet vlastností podporovaných dynamickým schématem Akci Parsovat JSON lze použít ke generování schématu z ukázkové datové části, pokud překročíte maximální počet vlastností.	1024

Vytvoření připojení

Konektor podporuje následující typy ověřování:


Microsoft Entra ID (s certifikáty)	Pro přístup k SAP použijte šíření instančního objektu Microsoft Entra ID prostřednictvím certifikátů X509.	Všechny oblasti	Nesdílitelné
Microsoft Entra ID (s protokolem Kerberos)	Pro přístup k SAP použijte šíření instančního objektu Microsoft Entra ID přes Kerberos.	Všechny oblasti	Nesdílitelné
Ověřování SAP	Pro přístup k serveru SAP použijte uživatelské jméno a heslo SAP.	Všechny oblasti	Nesdílitelné
Ověřování systému Windows	Pro přístup k serveru SAP použijte uživatelské jméno a heslo systému Windows.	Všechny oblasti	Nesdílitelné
Výchozí [ZASTARALÉ]	Tato možnost je určená pouze pro starší připojení bez explicitního typu ověřování a poskytuje se pouze pro zpětnou kompatibilitu.	Všechny oblasti	Nesdílitelné

Microsoft Entra ID (s certifikáty)

ID ověřování: UpnX509Certificate

Použitelné: Všechny oblasti

Pro přístup k SAP použijte šíření instančního objektu Microsoft Entra ID prostřednictvím certifikátů X509.