Del via

Brug Kerberos til enkeltlogon (SSO) til SAP BW ved hjælp af gx64krb5

I denne artikel beskrives det, hvordan du konfigurerer din SAP Business Warehouse-datakilde (BW) for at aktivere enkeltlogon (SSO) fra Power BI-tjeneste ved hjælp af gx64krb5.

Vigtigt

Microsoft giver dig mulighed for at oprette forbindelser ved hjælp af SNC-biblioteker (Secure Network Communications) (f.eks. gx64krb5), men understøtter ikke disse konfigurationer. DERUDOVER understøtter SAP ikke længere gx64krb5 for datagateways i det lokale miljø i Power BI, og de trin, der kræves for at konfigurere den til gatewayen, er betydeligt mere komplekse sammenlignet med CommonCryptoLib. Derfor anbefaler Microsoft, at du i stedet bruger CommonCryptoLib. Du kan få flere oplysninger under SAP Note 352295. Bemærk, at gx64krb5 ikke tillader SSO-forbindelser fra datagatewayen til SAP BW-meddelelsesservere. det er kun forbindelser til SAP BW-programservere, der er mulige. Denne begrænsning findes ikke, hvis du bruger CommonCryptoLib som SNC-bibliotek. Du kan få oplysninger om, hvordan du konfigurerer SSO ved hjælp af CommonCryptoLib, under Konfigurer SAP BW til SSO ved hjælp af CommonCryptoLib. Brug CommonCryptoLib eller gx64krb5 som dit SNC-bibliotek, men ikke begge dele. Udfør ikke konfigurationstrinnene for begge biblioteker.

Bemærk

Konfiguration af begge biblioteker (sapcrypto og gx64krb5) på den samme gatewayserver understøttes ikke. Det anbefales ikke at konfigurere begge biblioteker på den samme gatewayserver, da det vil føre til en blanding af biblioteker. Hvis du vil bruge begge biblioteker, skal du adskille gatewayserveren helt. Konfigurer f.eks. gx64krb5 for server A og derefter sapcrypto for server B. Husk, at fejl på server A, der bruger gx64krb5, ikke understøttes, da gx64krb5 ikke længere understøttes af SAP og Microsoft.

Denne vejledning er omfattende. Hvis du allerede har fuldført nogle af de beskrevne trin, kan du springe dem over. Du har måske allerede konfigureret din SAP BW-server til SSO ved hjælp af gx64krb5.

Konfigurer gx64krb5 på gatewaycomputeren og SAP BW-serveren

Gx64krb5-biblioteket skal bruges af både klienten og serveren for at fuldføre en SSO-forbindelse via gatewayen. Det betyder, at både klienten og serveren skal bruge det samme SNC-bibliotek.

  1. Download gx64krb5.dll fra SAP Note 2115486 (SAP s-bruger er påkrævet). Sørg for, at du har mindst version 1.0.11.x. Download også gsskrb5.dll (32-bit versionen af biblioteket), hvis du vil teste SSO-forbindelsen i SAP GUI, før du forsøger SSO-forbindelsen via gatewayen (anbefales). 32-bit versionen kræves for at teste med SAP GUI, fordi SAP GUI kun er 32-bit.

  2. Placer gx64krb5.dll på en placering på gatewaycomputeren, der er tilgængelig for din bruger af gatewaytjenesten. Hvis du vil teste SSO-forbindelsen med SAP GUI, skal du også placere en kopi af gsskrb5.dll på din computer og angive miljøvariablen SNC_LIB til at pege på den. Både brugeren af gatewaytjenesten og de Active Directory-brugere (AD), som tjenestebrugeren repræsenterer, skal have læse- og udførelsestilladelser til kopien af gx64krb5.dll. Vi anbefaler, at du tildeler tilladelser til .dll til gruppen Godkendte brugere. I forbindelse med test kan du også eksplicit tildele disse tilladelser til både den bruger af gatewaytjenesten og den AD-bruger, du bruger til at teste.

  3. Hvis din BW-server ikke allerede er konfigureret til SSO ved hjælp af gx64krb5.dll, skal du placere en anden kopi af .dll på din SAP BW-servercomputer på en placering, der er tilgængelig for SAP BW-serveren.

    Du kan få flere oplysninger om konfiguration af gx64krb5.dll til brug sammen med en SAP BW-server i SAP-dokumentationen (s-bruger til SAP er påkrævet).

  4. På klient- og servercomputerne skal du angive miljøvariablerne SNC_LIB og SNC_LIB_64 :

    • Hvis du bruger gsskrb5.dll, skal du angive variablen SNC_LIB til dens absolutte sti.
    • Hvis du bruger gx64krb5.dll, skal du angive variablen SNC_LIB_64 til den absolutte sti.

Konfigurer en SAP BW-tjenestebruger, og aktivér SNC-kommunikation på BW-serveren

Fuldfør dette afsnit, hvis du ikke allerede har konfigureret din SAP BW-server til SNC-kommunikation (f.eks. SSO) ved hjælp af gx64krb5.

Bemærk

I dette afsnit forudsættes det, at du allerede har oprettet en tjenestebruger til BW og bundet et passende SPN til det (dvs. et navn, der starter med SAP/).

  1. Giv tjenestebrugeren adgang til din SAP BW-programserver:

    1. Føj tjenestebrugeren til gruppen Lokal administrator på SAP BW-servercomputeren. Åbn programmet Computeradministration , og identificer gruppen Lokal administrator for din server.

      Computeradministrationsprogram

    2. Dobbeltklik på gruppen Lokal administrator, og vælg derefter Tilføj for at føje tjenestebrugeren til gruppen.

    3. Vælg Kontrollér navne for at sikre, at du har angivet navnet korrekt, og vælg derefter OK.

  2. Angiv tjenestebrugeren for SAP BW-serveren som den bruger, der starter SAP BW-servertjenesten på SAP BW-servercomputeren:

    1. Åbn Kør, og angiv derefter Services.msc.

    2. Find den tjeneste, der svarer til forekomsten af SAP BW-programserveren, højreklik på den, og vælg derefter Egenskaber.

      Skærmbillede af tjenester, hvor Egenskaber er fremhævet

    3. Skift til fanen Log på , og skift brugeren til din SAP BW-tjenestebruger.

    4. Angiv brugerens adgangskode, og vælg derefter OK.

  3. Log på serveren i SAP Logon, og angiv følgende profilparametre ved hjælp af RZ10-transaktionen:

    1. Angiv profilparameteren snc/identity/as til p:<SAP BW-tjenestebruger, du har oprettet>. F.eks . p:BWServiceUser@MYDOMAIN.COM. Bemærk, at p: står foran tjenestebrugerens brugerens hovednavn (UPN) i modsætning til p:CN=, som står foran UPN, når du bruger CommonCryptoLib som SNC-bibliotek.

    2. Angiv profilparameteren snc/gssapi_lib til <sti til gx64krb5.dll på BW-serveren>. Placer biblioteket på en placering, som SAP BW-programserveren har adgang til.

    3. Angiv følgende yderligere profilparametre, og skift værdierne efter behov, så de passer til dine behov. De sidste fem indstillinger gør det muligt for klienter at oprette forbindelse til SAP BW-serveren ved hjælp af SAP Logon uden at have SNC konfigureret.

      Indstilling Værdi
      snc/data_protection/max 3
      snc/data_protection/min. 0
      snc/data_protection/use 9
      snc/accept_insecure_cpic 0
      snc/accept_insecure_gui 0
      snc/accept_insecure_r3int_rfc 0
      snc/accept_insecure_rfc 0
      snc/permit_insecure_start 0

    4. Angiv egenskaben snc/enable til 1.

  4. Når du har angivet disse profilparametre, skal du åbne SAP Management Console på servercomputeren og genstarte SAP BW-forekomsten.

    Hvis serveren ikke starter, skal du bekræfte, at du har angivet profilparametrene korrekt. Du kan få flere oplysninger om indstillinger for profilparametre i SAP-dokumentationen. Du kan også se afsnittet Fejlfinding i denne artikel.

Knyt en SAP BW-bruger til en Active Directory-bruger

Hvis du ikke allerede har gjort det, skal du knytte en AD-bruger til en bruger af SAP BW Application Server og teste SSO-forbindelsen i SAP Logon.

  1. Log på din SAP BW-server med SAP Logon. Kør transaktionen SU01.

  2. For Bruger skal du angive den SAP BW-bruger, du vil aktivere SSO-forbindelse for. Vælg ikonet Rediger (penneikon) øverst til venstre i SAP Logon-vinduet.

    Skærmen SAP BW-brugervedligeholdelse

  3. Vælg fanen SNC . I inputfeltet SNC-navn skal du angive p:<din Active Directory-bruger>@<dit domæne>. For SNC-navnet skal p: være foran AD-brugerens UPN. Bemærk, at der er forskel på store og små bogstaver i UPN.

    Den AD-bruger, du angiver, skal tilhøre den person eller organisation, du vil aktivere SSO-adgang til SAP BW-programserveren for. Hvis du f.eks. vil aktivere SSO-adgang for brugeren testuser@TESTDOMAIN.COM, skal du angive p:testuser@TESTDOMAIN.COM.

    Skærmen Vedligehold brugere i SAP BW

  4. Vælg ikonet Gem (diskettebillede) øverst til venstre på skærmen.

Test logon via SSO

Bekræft, at du kan logge på serveren ved hjælp af SAP Logon via SSO som ad-bruger, som du har aktiveret SSO-adgang for:

  1. Som den AD-bruger, du lige har aktiveret SSO-adgang for, skal du logge på en computer i dit domæne, hvor SAP Logon er installeret. Start SAP Logon, og opret en ny forbindelse.

  2. Kopiér den gsskrb5.dll fil, du downloadede tidligere, til en placering på den computer, du loggede på. Angiv miljøvariablen SNC_LIB til den absolutte sti til denne placering.

  3. Start SAP Logon, og opret en ny forbindelse.

  4. På skærmen Opret ny systempost skal du vælge Brugerangivet system og derefter vælge Næste.

    Skærmen Opret ny systempost

  5. Udfyld de relevante oplysninger på næste skærmbillede, herunder programserveren, forekomstnummeret og system-id'et. Vælg derefter Udfør.

  6. Højreklik på den nye forbindelse, vælg Egenskaber, og vælg derefter fanen Netværk .

  7. I feltet SNC-navn skal du angive p:<SAP BW-tjenestebrugerens UPN>. F.eks . p:BWServiceUser@MYDOMAIN.COM. Vælg OK.

    Skærmbilledet Egenskaber for systemindtastning

  8. Dobbeltklik på den forbindelse, du lige har oprettet, for at forsøge at oprette en SSO-forbindelse til DIN SAP BW-server.

    Hvis denne forbindelse lykkes, skal du fortsætte til næste afsnit. Ellers skal du gennemse de tidligere trin i dette dokument for at sikre, at de er fuldført korrekt, eller gennemse afsnittet Fejlfinding . Hvis du ikke kan oprette forbindelse til SAP BW-serveren via SSO i denne kontekst, kan du ikke oprette forbindelse til SAP BW-serveren ved hjælp af SSO i gatewaykonteksten.

Føj poster i registreringsdatabasen til gatewaycomputeren

Føj påkrævede poster i registreringsdatabasen til registreringsdatabasen på den computer, som gatewayen er installeret på, og til computere, der er beregnet til at oprette forbindelse fra Power BI Desktop. Kør følgende kommandoer for at tilføje disse poster i registreringsdatabasen:

  • REG ADD HKLM\SOFTWARE\Wow6432Node\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

  • REG ADD HKLM\SOFTWARE\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

Føj en ny datakilde til SAP BW Application Server til Power BI-tjeneste, eller rediger en eksisterende datakilde

  1. I vinduet til konfiguration af datakilden skal du angive værtsnavnet, systemnummeret og klient-id'et for SAP BW-programserveren, som du ville gøre for at logge på din SAP BW-server fra Power BI Desktop.

  2. I feltet SNC-partnernavn skal du angive p:<SPN, du har knyttet til din SAP BW-tjenestebruger>. Hvis SPN f.eks. er SAP/BWServiceUser@MYDOMAIN.COM, skal du angive p:SAP/BWServiceUser@MYDOMAIN.COM i feltet SNC-partnernavn .

  3. For SNC-biblioteket skal du vælge indstillingen Brugerdefineret og angive den absolutte sti til GX64KRB5.DLL eller GSSKRB5.DLL på gatewaycomputeren.

  4. Vælg Brug SSO via Kerberos til DirectQuery-forespørgsler, og vælg derefter Anvend. Hvis testforbindelsen ikke lykkes, skal du kontrollere, at de forrige installations- og konfigurationstrin blev fuldført korrekt.

  5. Kør en Power BI-rapport.

Fejlfinding

Foretag fejlfinding af gx64krb5-konfiguration

Hvis du støder på et af følgende problemer, skal du følge disse trin for at foretage fejlfinding af installationen af gx64krb5 og SSO-forbindelser:

  • Der opstår fejl, når du fuldfører trinnene til konfiguration af gx64krb5. SAP BW-serveren starter f.eks. ikke, når du har ændret profilparametrene. Vis serverlogfilerne (... work\dev_w0 på servercomputeren) for at foretage fejlfinding af disse fejl.

  • Du kan ikke starte SAP BW-tjenesten på grund af en logonfejl. Du har muligvis angivet den forkerte adgangskode, når du angiver SAP BW-start som bruger. Bekræft adgangskoden ved at logge på som SAP BW-tjenestebrugeren på en computer i dit AD-miljø.

  • Du får vist fejl om underliggende legitimationsoplysninger for datakilden (f.eks. SQL Server), som forhindrer serveren i at starte. Kontrollér, at du har givet tjenestebrugeren adgang til SAP BW-databasen.

  • Du får vist følgende meddelelse: Den angivne destination (GSS-API) er ukendt eller ikke tilgængelig. Denne fejl betyder normalt, at du har angivet et forkert SNC-navn. Sørg for kun at bruge p: og ikke p:CN=, før tjenestebrugerens UPN i klientprogrammet.

  • Du får vist følgende meddelelse: (GSS-API) Der blev angivet et ugyldigt navn. Kontrollér, at p: er værdien af serverens SNC-identitetsprofilparameter.

  • Du får vist følgende meddelelse: (SNC-fejl) Det angivne modul blev ikke fundet. Denne fejl skyldes ofte, at gx64krb5.dll placeres på en placering, der kræver administratorrettigheder (.. /administratorrettigheder) for at få adgang.

Foretag fejlfinding af problemer med gatewayforbindelse

  1. Kontrollér gatewayloggene. Åbn gatewaykonfigurationsprogrammet, og vælg Diagnosticering og derefter Eksportér logge. De seneste fejl er i slutningen af de logfiler, du undersøger.

    Datagatewayprogram i det lokale miljø med Diagnosticering fremhævet

  2. Slå SAP BW-sporing til, og gennemse de genererede logfiler. Der findes flere forskellige typer SAP BW-sporing (f.eks. CPIC-sporing):

    a. Hvis du vil aktivere sporing af CPIC, skal du angive to miljøvariabler: CPIC_TRACE og CPIC_TRACE_DIR.

    Den første variabel angiver sporingsniveauet, og den anden variabel angiver mappen med sporingsfiler. Mappen skal være en placering, som medlemmer af gruppen Godkendte brugere kan skrive til.

    b. Angiv CPIC_TRACE til 3 , og CPIC_TRACE_DIR til den mappe, sporingsfilerne skal skrives til. Eksempler:

    CPIC-sporing

    c. Genskab problemet, og sørg for, at CPIC_TRACE_DIR indeholder sporingsfiler.

    d. Undersøg indholdet af sporingsfilerne for at fastslå blokeringsproblemet. Du kan f.eks. opleve, at gx64krb5.dll ikke blev indlæst korrekt, eller at en AD-bruger, der er anderledes end den, du forventede, startede SSO-forbindelsesforsøget.

Relateret indhold

Du kan finde flere oplysninger om datagatewayen i det lokale miljø og DirectQuery i følgende ressourcer: