Herstellen einer Verbindung mit und Verwalten von SAP ECC in Microsoft Purview

In diesem Artikel wird beschrieben, wie Sie SAP ECC registrieren und wie Sie sich in Microsoft Purview authentifizieren und mit SAP ECC interagieren. Weitere Informationen zu Microsoft Purview finden Sie im Einführungsartikel.

Unterstützte Funktionen

Scanfunktionen

Metadatenextraktion	Vollständiger Scan	Inkrementelle Überprüfung	Bereichsbezogene Überprüfung
Ja	Ja	Nein	Nein

Beim Überprüfen der SAP ECC-Quelle unterstützt Microsoft Purview Folgendes:

• Extrahieren von technischen Metadaten, einschließlich:

  • Instance
  • Anwendungskomponenten
  • Pakete
  • Tabellen, einschließlich der Felder, Fremdschlüssel, Indizes und Indexmember
  • Ansichten einschließlich der Felder
  • Transaktionen
  • Programme
  • Klassen
  • Funktionsgruppen
  • Funktionsmodule
  • Domänen einschließlich der Domänenwerte
  • Datenelemente

• Abrufen der statischen Herkunft für Ressourcenbeziehungen zwischen Tabellen und Sichten.

Weitere Funktionen

Klassifizierungen, Vertraulichkeitsbezeichnungen, Richtlinien, Datenherkunft und Liveansicht finden Sie in der Liste der unterstützten Funktionen.

Bekannte Einschränkungen

Wenn das Objekt aus der Datenquelle gelöscht wird, wird das entsprechende Objekt in Microsoft Purview bei der nachfolgenden Überprüfung derzeit nicht automatisch entfernt.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.

• Ein aktives Microsoft Purview-Konto.

• Sie benötigen Datenquellenadministrator- und Datenleserberechtigungen, um eine Quelle zu registrieren und im Microsoft Purview-Governanceportal zu verwalten. Weitere Informationen zu Berechtigungen finden Sie unter Zugriffssteuerung in Microsoft Purview.

• Richten Sie die richtige Integration Runtime für Ihr Szenario ein:

  • So verwenden Sie eine selbstgehostete Integration Runtime:
    • Befolgen Sie den Artikel zum Erstellen und Konfigurieren einer selbstgehosteten Integration Runtime.
    • Stellen Sie sicher, dass JDK 11 auf dem Computer installiert ist, auf dem die selbstgehostete Integration Runtime installiert ist. Starten Sie den Computer neu, nachdem Sie das JDK neu installiert haben, damit es wirksam wird.
    • Stellen Sie sicher, dass Visual C++ Redistributable (Version Visual Studio 2012 Update 4 oder höher) auf dem Computer installiert ist, auf dem die selbstgehostete Integration Runtime ausgeführt wird. Wenn Sie dieses Update nicht installiert haben, laden Sie es jetzt herunter.
    • Laden Sie den 64-Bit-SAP-Connector für Microsoft .NET 3.0 von der SAP-Website herunter, und installieren Sie ihn auf dem Computer mit der selbstgehosteten Integration Runtime. Stellen Sie sicher, dass Sie während der Installation im Fenster Optionale Setupschritte die Option Assemblys im GAC installieren auswählen.
    • Der Connector liest Metadaten aus SAP mithilfe der SAP Java Connector (JCo) 3.0-API. Stellen Sie sicher, dass der Java-Connector auf Ihrem virtuellen Computer verfügbar ist, auf dem die selbstgehostete Integration Runtime installiert ist. Stellen Sie sicher, dass Sie die richtige JCo-Verteilung für Ihre Umgebung verwenden. Beispiel: Stellen Sie auf einem Microsoft Windows-Computer sicher, dass die dateien sapjco3.jar und sapjco3.dll verfügbar sind. Notieren Sie sich den Ordnerpfad, den Sie zum Einrichten der Überprüfung verwenden werden.
    • Die selbstgehostete Integration Runtime kommuniziert mit dem SAP-Server über den Verteilerport 32NNN und den Gatewayport 33NN, wobei NN Ihre SAP-instance Nummer von 00 bis 99 ist. Stellen Sie sicher, dass der ausgehende Datenverkehr in Ihrer Firewall zulässig ist.
  • So verwenden Sie eine von Kubernetes unterstützte selbstgehostete Integration Runtime:
    • Befolgen Sie den Artikel zum Erstellen und Konfigurieren einer von Kubernetes unterstützten Integration Runtime.
    • Laden Sie den 64-Bit-SAP-Connector für Microsoft .NET 3.0 von der SAP-Website herunter, und installieren Sie ihn auf dem Computer mit der selbstgehosteten Integration Runtime. Stellen Sie sicher, dass Sie während der Installation im Fenster Optionale Setupschritte die Option Assemblys im GAC installieren auswählen.
    • Der Connector liest Metadaten aus SAP mithilfe der SAP Java Connector (JCo) 3.0-API. Stellen Sie sicher, dass der Java-Connector auf Ihrem virtuellen Computer verfügbar ist, auf dem die selbstgehostete Integration Runtime installiert ist. Stellen Sie sicher, dass Sie die richtige JCo-Verteilung für Ihre Umgebung verwenden. Beispiel: Stellen Sie auf einem Microsoft Windows-Computer sicher, dass die dateien sapjco3.jar und sapjco3.dll verfügbar sind. Notieren Sie sich den Ordnerpfad, den Sie zum Einrichten der Überprüfung verwenden.
    • Die selbstgehostete Integration Runtime kommuniziert mit dem SAP-Server über den Verteilerport 32NNN und den Gatewayport 33NN, wobei NN Ihre SAP-instance Nummer von 00 bis 99 ist. Stellen Sie sicher, dass der ausgehende Datenverkehr in Ihrer Firewall zulässig ist.

  Hinweis

  Die Überprüfung von SAP ECC ist ein speicherintensiver Vorgang. Es wird empfohlen, selbstgehostete Integration Runtime auf einem Computer mit mindestens 128 GB RAM zu installieren.

• Stellen Sie das ABAP-Funktionsmodul für die Metadatenextraktion auf dem SAP-Server bereit, indem Sie die im Bereitstellungshandbuch für ABAP-Funktionen beschriebenen Schritte ausführen. Sie benötigen ein ABAP-Entwicklerkonto, um das RFC-Funktionsmodul auf dem SAP-Server zu erstellen. Für die Überprüfungsausführung benötigt das Benutzerkonto ausreichende Berechtigungen, um eine Verbindung mit dem SAP-Server herzustellen und die folgenden RFC-Funktionsmodule auszuführen:

  • STFC_CONNECTION (Konnektivität überprüfen)
  • RFC_SYSTEM_INFO (Systeminformationen überprüfen)
  • OCS_GET_INSTALLED_COMPS (Softwareversionen überprüfen)
  • Z_MITI_DOWNLOAD (Standard Metadatenimports das Funktionsmodul, das Sie gemäß dem Purview-Leitfaden erstellen)

  Die zugrunde liegenden SAP Java Connector-Bibliotheken (JCo) rufen möglicherweise weitere RFC-Funktionsmodule auf. beispielsweise RFC_PING, RFC_METADATA_GET usw. Weitere Informationen finden Sie im SAP-Supporthinweis 460089 .

Registrieren

In diesem Abschnitt wird beschrieben, wie Sie SAP ECC in Microsoft Purview mithilfe des Microsoft Purview-Governanceportals registrieren.

Authentifizierung für die Registrierung

Die einzige unterstützte Authentifizierung für die SAP ECC-Quelle ist die Standardauthentifizierung.

Schritte zum Registrieren

1. Öffnen Sie das Microsoft Purview-Governanceportal wie folgt:

   • Navigieren Sie direkt zu https://web.purview.azure.com Ihrem Microsoft Purview-Konto, und wählen Sie es aus.
   • Öffnen Sie die Azure-Portal, suchen Sie nach dem Microsoft Purview-Konto, und wählen Sie es aus. Wählen Sie die Schaltfläche Microsoft Purview-Governanceportal aus.

2. Wählen Sie im linken Navigationsbereich Data Map aus.

3. Wählen Sie Registrieren aus.

4. Wählen Sie unter Quellen registrieren die Option SAP ECC aus. Wählen Sie Weiter aus.

   

Gehen Sie auf dem Bildschirm Quellen registrieren (SAP ECC) wie folgt vor:

1. Geben Sie einen Namen ein, mit dem die Datenquelle im Katalog aufgeführt wird.

2. Geben Sie den Namen des Anwendungsservers ein, um eine Verbindung mit der SAP ECC-Quelle herzustellen. Es kann auch eine IP-Adresse des SAP-Anwendungsserverhosts sein.

3. Geben Sie die SAP-Systemnummer ein. Dies ist eine zweistellige ganze Zahl zwischen 00 und 99.

4. Wählen Sie eine Sammlung aus der Liste aus.

5. Schließen Sie ab, um die Datenquelle zu registrieren.

   

Überprüfung

Führen Sie die folgenden Schritte aus, um SAP ECC zu überprüfen, um Ressourcen automatisch zu identifizieren. Weitere Informationen zum Scannen im Allgemeinen finden Sie in unserer Einführung in Scans und Erfassung.

Erstellen und Ausführen der Überprüfung

1. Wählen Sie im Management Center Integration Runtimes aus. Stellen Sie sicher, dass eine selbstgehostete Integration Runtime eingerichtet ist. Wenn sie nicht eingerichtet ist, führen Sie die unter Voraussetzungen beschriebenen Schritte aus, um eine selbstgehostete Integration Runtime zu erstellen.

2. Navigieren Sie zu Quellen.

3. Wählen Sie die registrierte SAP ECC-Quelle aus.

4. Wählen Sie + Neue Überprüfung aus.

5. Geben Sie die folgenden Details an:

   1. Name: Der Name der Überprüfung

   2. Herstellen einer Verbindung über Integration Runtime: Wählen Sie die konfigurierte selbstgehostete Integration Runtime aus.

   3. Anmeldeinformationen: Wählen Sie die Anmeldeinformationen aus, um eine Verbindung mit Ihrer Datenquelle herzustellen. Stellen Sie folgendes sicher:

      • Wählen Sie Standardauthentifizierung beim Erstellen von Anmeldeinformationen aus.
      • Geben Sie im Eingabefeld Benutzername eine Benutzer-ID an, um eine Verbindung mit dem SAP-Server herzustellen.
      • Speichern Sie das Benutzerkennwort, das zum Herstellen einer Verbindung mit dem SAP-Server verwendet wird, im geheimen Schlüssel.

   4. Client-ID: Geben Sie die SAP-Client-ID ein. Es handelt sich um eine dreistellige numerische Zahl zwischen 000 und 999.

   5. SNC-Modus (optional):Aktivieren Sie die Umschaltfläche , wenn Sie den SNC-Modus (Secure Network Communications) verwenden möchten, um Ihre technischen Verbindungen mit SAP RFCs über einen zertifikatbasierten Authentifizierungsmechanismus zu schützen. Der SNC-Modus ist standardmäßig deaktiviert .

      Führen Sie die folgenden Schritte aus, um die SAP Personal Secure Environment mit SNC-Zertifikat einzurichten:

      SAPCAR abrufen

      • Wechseln Sie zum SAP Software Download Center, und melden Sie sich mit Ihren SAP-Anmeldeinformationen an.
      • Suchen Sie nach SAPCAR, und wählen Sie die neueste nicht archivierte Version aus.
      • Wählen Sie Ihr Betriebssystem aus.
      • Laden Sie die herunter .EXE file to C:\sap\SAR.

      Abrufen der SAP Common Crypto Library

      • Suchen Sie im SAP Software Download Center nach "COMMONCRYPTOLIB", und wählen Sie die neueste Version aus.
      • Wählen Sie Ihr Betriebssystem aus.
      • Laden Sie die herunter. SAR-Datei mit dem letzten Veröffentlichungsdatum in C:\sap\SAR.

      Extrahieren der SAP Common Crypto Library

      • Öffnen Sie PowerShell, und navigieren Sie zu C:\sap\SAR.
      • Geben Sie den folgenden Befehl ein, und ersetzen Sie dabei xxxx durch Ihre Werte: .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib.
      • Vergewissern Sie sich, dass sapgenpse.exe sich im Verzeichnis befindet C:\sap\libs\sapcryptolib .

      Generieren von Zertifikaten

      Hinweis: Diese Methode dient nur zu Demonstrationszwecken und wird nicht für Produktionssysteme empfohlen. Wenden Sie sich für Produktionssysteme an Ihren internen PKI-Leitfaden oder Das Sicherheitsteam.

      • Richten Sie die Ordnerstruktur ein:

        • mkdir rootCA
        • mkdir sncCert

      • Erstellen Sie die erforderlichen seriellen Dateien und Indexdateien, wenn sie nicht vorhanden sind:

        • if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" ItemType File }
        • if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }

      • Generieren einer Stammzertifizierungsstelle:

        • openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
        • openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"

      • Generieren des SNC-Zertifikats

        • openssl genrsa -out sncCert/snc.key.pem 2048
        • openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem subj "/O=Contoso/CN=SNC"

      • Erstellen Sie eine OpenSSL-Konfigurationsdatei ( sncCert/extensions.cnf) zum Signieren:

        • subjectKeyIdentifier = hash
        • authorityKeyIdentifier = keyid,issuer
        • basicConstraints = critical,CA:false
        • keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
        • extendedKeyUsage = clientAuth,emailProtection

      • Signieren Sie das SNC-Zertifikat mit der Stammzertifizierungsstelle:

        • openssl x509 -req in sncCert/snc.csr.pem CA rootCA/ca.cert.pem CAkey rootCA/ca.key.pem CAcreateserial out sncCert/snc.cert.pem days 3650 sha256 extfile sncCert\extensions.cnf extensions v3_leaf

      Erstellen einer persönlichen sicheren Umgebung

      Erstellen Sie eine personal secure Environment (PSE) für das lokale Datengateway. Die NCo-Bibliothek sucht innerhalb der PSE nach dem SNC-Zertifikat.

      • Erstellen Sie einen PKCS#12-Container:

        • openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem

      • Erstellen Sie die Umgebungsvariable SECUDIR.

      • Systemeigenschaften öffnen: Klicken Sie in Explorer mit der rechten Maustaste auf Dieser PC, und wählen Sie dann Eigenschaften>Erweiterte Systemeinstellungen aus.

      • Wählen Sie Umgebungsvariablen aus.

      • Wählen Sie unter Systemvariablen die Option Neu aus.

      • Legen Sie den Variablennamen auf SECUDIR fest.

      • Legen Sie den Wert auf fest C:\sapsecudir.

      • Wählen Sie OK aus.

      Importieren Sie den PKCS#12-Container in eine PSE: C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki certs\snc.p12

      Zulassen, dass Ihr SHIR-Prozess Ihre SAP PSE-Instanz verwendet

      Überprüfen Sie, welcher Benutzer oder Dienst von Ihrem SNC-Client verwendet wird, um das Zertifikat für die Kommunikation mit SAP abzurufen. Die Microsoft Purview-SHIR verwendet den Dienstbenutzer NT SERVICE\DIAHostService.

      • Fügen Sie Anmeldeinformationen hinzu, um die Zertifikatabrufanforderung von der PSE zuzulassen: .\sapgenpse.exe seclogin -p C:\sapsecudir\SAPSNCSKERB.pse -x your-pse-pin -O "NT SERVICE\DIAHostService"
      • Überprüfen Sie die Anmeldeinformationen wie folgt: .\sapgenpse.exe seclogin -l -O "NT SERVICE\DIAHostService"
      • Sie können sie wie folgt löschen: .\sapgenpse.exe seclogin -d -O "NT SERVICE\DIAHostService"
      • Verwenden Sie den Parameter -h, um Hilfe zum Sapgenpse-Befehlszeilentool zu erhalten, oder überprüfen Sie die Befehlsreferenz hier.

      Erteilen der Berechtigung für den Zugriff auf die SAP JCo-Bibliothek für den SHIR-Prozess

      Überprüfen Sie, ob der Microsoft Purview SHIR-Benutzer NT SERVICE\DIAHostServiceüber Lese-/Schreib-/Ausführen-/Auflistenberechtigungen für diese Ordner verfügt:

      • SNC-Bibliothekspfad: Der Ordner mit der SNC-Bibliothek. sapcrypto.dll Beispiel: C:\Users\shir-admin\Desktop\snc\SAPCRYPTOLIBP_8557-20011729\sapcrypto.dll

      • JCo-Bibliothekspfad: Der Ordner, der die JAR-Datei des SAP Java-Connectors enthält. Beispiel: C:\Users\shir-admin\Desktop\snc\sapjco3-ntamd64-3.1\sapjco3-ntamd64-3.1.3

      Die SAP NCo-Bibliothek sollte auch auf dem virtuellen Computer installiert sein, damit die Testverbindung ordnungsgemäß funktioniert, da weiterhin die NCo-Bibliothek verwendet wird. Dies ist nicht erforderlich, und Verbindung testen kann übersprungen werden.

      Geben Sie SCN-Details für meinen Namen, den Partnernamen, den Bibliothekspfad und die Qualität des Schutzes ein, wie unten zu sehen, und initiieren Sie die Überprüfung:

      

   6. JCo-Bibliothekspfad: Geben Sie den Verzeichnispfad an, in dem sich die JCo-Bibliotheken befinden, z. B.: D:\Drivers\SAPJCo. Stellen Sie sicher, dass der Pfad von der selbstgehosteten Integration Runtime zugänglich ist. Weitere Informationen finden Sie im Abschnitt voraussetzungen.

      1. Für selbstgehostete Integration Runtime auf einem lokalen Computer: D:\Drivers\SAPJCo. Dies ist der Pfad zum gültigen Speicherort des JAR-Ordners. Der Wert muss ein gültiger absoluter Dateipfad sein und enthält keinen Speicherplatz. Stellen Sie sicher, dass auf den Treiber über die selbstgehostete Integration Runtime zugegriffen werden kann. Weitere Informationen finden Sie im Abschnitt "Voraussetzungen".
      2. Für von Kubernetes unterstützte selbstgehostete Integration Runtime: ./drivers/SAPJCo. Dies ist der Pfad zum gültigen Speicherort des JAR-Ordners. Der Wert muss ein gültiger relativer Dateipfad sein. Informationen zum Einrichten einer Überprüfung mit externen Treibern zum Hochladen von Treibern im Voraus finden Sie in der Dokumentation.

   7. Maximal verfügbarer Arbeitsspeicher: Maximal verfügbarer Arbeitsspeicher (in GB) auf dem selbstgehosteten Integration Runtime Computer, der von Überprüfungsprozessen verwendet werden soll. Dies hängt von der Größe der zu scannenden SAP ECC-Quelle ab. Es wird empfohlen, einen großen verfügbaren Arbeitsspeicher bereitzustellen, z. B. 100.

      

6. Wählen Sie Weiter.

7. Wählen Sie Ihren Scantrigger aus. Sie können einen Zeitplan einrichten oder die Überprüfung einmal ausführen.

8. Überprüfen Sie Ihre Überprüfung, und wählen Sie Speichern und ausführen aus.

Anzeigen Ihrer Überprüfungen und Überprüfungsausführungen

So zeigen Sie vorhandene Überprüfungen an:

1. Wechseln Sie zum Microsoft Purview-Portal. Wählen Sie im linken Bereich Data Map aus.
2. Wählen Sie die Datenquelle aus. Sie können eine Liste der vorhandenen Überprüfungen für diese Datenquelle unter Zuletzt verwendete Überprüfungen anzeigen, oder Sie können alle Überprüfungen auf der Registerkarte Scans anzeigen.
3. Wählen Sie die Überprüfung aus, die Ergebnisse enthält, die Sie anzeigen möchten. Im Bereich werden alle vorherigen Überprüfungsausführungen zusammen mit den status und Metriken für jede Überprüfungsausführung angezeigt.
4. Wählen Sie die Ausführungs-ID aus, um die Details der Überprüfungsausführung zu überprüfen.

Verwalten ihrer Überprüfungen

So bearbeiten, abbrechen oder löschen Sie eine Überprüfung:

1. Wechseln Sie zum Microsoft Purview-Portal. Wählen Sie im linken Bereich Data Map aus.

2. Wählen Sie die Datenquelle aus. Sie können eine Liste der vorhandenen Überprüfungen für diese Datenquelle unter Zuletzt verwendete Überprüfungen anzeigen, oder Sie können alle Überprüfungen auf der Registerkarte Scans anzeigen.

3. Wählen Sie die Überprüfung aus, die Sie verwalten möchten. Anschließend können Sie:

   • Bearbeiten Sie die Überprüfung, indem Sie Überprüfung bearbeiten auswählen.
   • Brechen Sie eine laufende Überprüfung ab, indem Sie Überprüfungsausführung abbrechen auswählen.
   • Löschen Sie Ihre Überprüfung, indem Sie Überprüfung löschen auswählen.

Hinweis

• Durch das Löschen Ihrer Überprüfung werden keine Katalogressourcen gelöscht, die aus vorherigen Überprüfungen erstellt wurden.

Herkunft

Nachdem Sie Ihre SAP ECC-Quelle überprüft haben, können Sie Unified Catalog durchsuchen oder Unified Catalog suchen, um die Ressourcendetails anzuzeigen.

Wechseln Sie zur Registerkarte Asset –> Herkunft. Die Ressourcenbeziehung wird angezeigt, falls zutreffend. Informationen zu den unterstützten SAP ECC-Herkunftsszenarien finden Sie im Abschnitt unterstützte Funktionen . Weitere Informationen zur Herkunft im Allgemeinen finden Sie im Benutzerhandbuch zur Datenherkunft und -herkunft.

Nächste Schritte

Nachdem Sie Ihre Quelle registriert haben, folgen Sie den folgenden Anleitungen, um mehr über Microsoft Purview und Ihre Daten zu erfahren.

• Data Estate Insights in Microsoft Purview
• Herkunft in Microsoft Purview
• Unified Catalog suchen