Χρήση του Kerberos για SSO στο SAP HANA
Σημαντικό
Επειδή το SAP δεν υποστηρίζει πλέον OpenSSL, η Microsoft έχει διακόψει επίσης την υποστήριξή της. Οι υπάρχουσες συνδέσεις σας εξακολουθούν να λειτουργούν, αλλά δεν μπορείτε πλέον να δημιουργήσετε νέες συνδέσεις. Αντί για αυτό, χρησιμοποιήστε τη Βιβλιοθήκη κρυπτογράφησης SAP (CommonCryptoLib) ή το sapcrypto.
Αυτό το άρθρο περιγράφει τον τρόπο ρύθμισης παραμέτρων της προέλευσης δεδομένων σας SAP HANA για ενεργοποίηση καθολικής σύνδεσης (SSO) από το Υπηρεσία Power BI.
Σημείωμα
Προτού επιχειρήσετε να ανανεώσετε μια αναφορά που βασίζεται στο SAP HANA που χρησιμοποιεί το Kerberos SSO, ολοκληρώστε τα βήματα σε αυτό το άρθρο και ρυθμίστε τις παραμέτρους του Kerberos SSO.
Ενεργοποίηση SSO για SAP HANA
Για να ενεργοποιήσετε το SSO για SAP HANA, ακολουθήστε τα παρακάτω βήματα:
Βεβαιωθείτε ότι ο διακομιστής SAP HANA εκτελεί την απαιτούμενη ελάχιστη έκδοση, η οποία εξαρτάται από το επίπεδο πλατφόρμας διακομιστή SAP HANA:
Στον υπολογιστή πύλης, εγκαταστήστε το πιο πρόσφατο πρόγραμμα οδήγησης ODBC SAP HANA. Η ελάχιστη έκδοση είναι η έκδοση ODBC HANA 2.00.020.00 από τον Αύγουστο 2017.
Βεβαιωθείτε ότι ο διακομιστής SAP HANA έχει ρυθμιστεί για SSO που βασίζεται στο Kerberos. Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση SSO για το SAP HANA χρησιμοποιώντας το Kerberos, ανατρέξτε στο θέμα Καθολική σύνδεση με χρήση του Kerberos. Δείτε επίσης τις συνδέσεις από αυτήν τη σελίδα, ιδιαίτερα τη σημείωση SAP 1837331 – HOWTO HANA DBSSO Kerberos/Active Directory.
Συνιστούμε επίσης τα παρακάτω επιπλέον βήματα, τα οποία μπορούν να επιφέρουν μια μικρή βελτίωση των επιδόσεων:
Στον κατάλογο εγκατάστασης της πύλης, αναζητήστε και ανοίξτε αυτό το αρχείο ρύθμισης παραμέτρων: Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.
Αναζητήστε την
FullDomainResolutionEnabledιδιότητα και αλλάξτε την τιμή της σεTrue.<setting name=" FullDomainResolutionEnabled " serializeAs="String"> <value>True</value> </setting>Εκτελέστε μια αναφορά Power BI.
Αντιμετώπιση προβλημάτων
Αυτή η ενότητα παρέχει οδηγίες για την αντιμετώπιση προβλημάτων με τη χρήση του Kerberos για SSO (καθολική σύνδεση) στο SAP HANA στον Υπηρεσία Power BI. Χρησιμοποιώντας αυτά τα βήματα αντιμετώπισης προβλημάτων, μπορείτε να διαγνώσετε τον εαυτό σας και να διορθώσετε πολλά προβλήματα που ενδέχεται να αντιμετωπίζετε.
Για να ακολουθήσετε τα βήματα που περιγράφονται σε αυτή την ενότητα, χρειάζεται να συλλέξετε αρχεία καταγραφής πύλης.
Σφάλμα TLS/SSL (πιστοποιητικό)
Αυτό το πρόβλημα έχει πολλαπλά συμπτώματα.
Όταν προσπαθήσετε να προσθέσετε μια νέα προέλευση δεδομένων, μπορεί να δείτε ένα σφάλμα όπως το ακόλουθο μήνυμα:
Unable to connect: We encountered an error while trying to connect to. Details: "We could not register this data source for any gateway instances within this cluster. Please find more details below about specific errors for each gateway instance."Όταν προσπαθήσετε να δημιουργήσετε ή ανανεώσετε μια αναφορά, μπορεί να δείτε το ακόλουθο μήνυμα σφάλματος:
Όταν διερευνάτε τη .log Mashup[date]*, βλέπετε το ακόλουθο μήνυμα σφάλματος:
A connection was successfully established with the server, but then an error occurred during the login process and the certificate chain was issued by an authority that is not trusted.
Επίλυση
Για να επιλύσετε αυτό το σφάλμα TLS/SSL, μεταβείτε στη σύνδεση προέλευσης δεδομένων και, στη συνέχεια, στην ενότητα Επικύρωση πιστοποιητικού διακομιστή, απενεργοποιήστε τη ρύθμιση, όπως φαίνεται στην παρακάτω εικόνα:
Αφού απενεργοποιήσετε αυτήν τη ρύθμιση, το μήνυμα σφάλματος δεν εμφανίζεται πλέον.
Απομίμησης
Οι καταχωρήσεις αρχείου καταγραφής για απομίμηση περιέχουν καταχωρήσεις παρόμοιες με:
About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation).
Το σημαντικό στοιχείο σε αυτήν την καταχώρηση αρχείου καταγραφής είναι οι πληροφορίες που εμφανίζονται μετά την ImpersonationLevel: καταχώρηση. Οποιαδήποτε τιμή διαφορετική από Impersonation την αποκαλύπτει ότι η απομίμηση δεν πραγματοποιείται σωστά.
Επίλυση
Μπορείτε να ρυθμίσετε ImpersonationLevel σωστά ακολουθώντας τις οδηγίες στην ενότητα Εκχώρηση δικαιωμάτων τοπικής πολιτικής λογαριασμού υπηρεσίας πύλης στην πύλη.
Αφού αλλάξετε το αρχείο ρύθμισης παραμέτρων, επανεκκινήστε την υπηρεσία πύλης για να εφαρμοστεί η αλλαγή.
Επικύρωση
Ανανεώστε ή δημιουργήστε την αναφορά και, στη συνέχεια, συγκεντρώστε τα αρχεία καταγραφής πύλης. Ανοίξτε το πιο πρόσφατο αρχείο GatewayInfo και ελέγξτε την ακόλουθη συμβολοσειρά: About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation). Βεβαιωθείτε ότι η ImpersonationLevel ρύθμιση επιστρέφει Impersonation.
Ανάθεση
Τα ζητήματα ανάθεσης εμφανίζονται συνήθως στην Υπηρεσία Power BI ως γενικά σφάλματα. Για να βεβαιωθείτε ότι το πρόβλημα δεν αποτελεί πρόβλημα ανάθεσης, συλλέξτε ανιχνεύσεις Wireshark και χρησιμοποιήστε το Kerberos ως φίλτρο. Για να μάθετε περισσότερα σχετικά με το Wireshark και για πληροφορίες σχετικά με τα σφάλματα Kerberos, ανατρέξτε στο θέμα Σφάλματα Kerberos σε αποτυπώσεις δικτύου.
Τα παρακάτω συμπτώματα και βήματα αντιμετώπισης προβλημάτων μπορούν να σας βοηθήσουν να διορθώσετε ορισμένα συνήθη προβλήματα.
Ζητήματα SPN
Εάν δείτε το ακόλουθο σφάλμα: The import [table] matches no exports. Did you miss a module reference?: κατά την έρευνα του Mashup[date]*.log, αντιμετωπίζετε ζητήματα κύριου ονόματος υπηρεσίας (SPN).
Κατά την περαιτέρω διερεύνηση χρησιμοποιώντας ανιχνεύσεις Wireshark, αποκαλύπτετε το σφάλμα KRB4KDC_ERR_S_PRINCIPAL_UNKOWN, το οποίο σημαίνει ότι το SPN δεν βρέθηκε ή δεν υπάρχει. Η παρακάτω εικόνα εμφανίζει ένα παράδειγμα:
Επίλυση
Για να επιλύσετε προβλήματα SPN όπως αυτό το πρόβλημα, πρέπει να προσθέσετε ένα SPN σε έναν λογαριασμό υπηρεσίας. Για περισσότερες πληροφορίες, ανατρέξτε στην τεκμηρίωση SAP στο θέμα Ρύθμιση παραμέτρων κεντρικών υπολογιστών βάσης δεδομένων Kerberos για SAP HANA.
Επιπλέον, ακολουθήστε τις οδηγίες επίλυσης που περιγράφονται στην επόμενη ενότητα.
Δεν υπάρχουν ζητήματα διαπιστευτηρίων
Ενδέχεται να μην υπάρχουν σαφή συμπτώματα που σχετίζονται με αυτό το ζήτημα. Όταν διερευνάτε τον συνδυασμό δεδομένων[ημερομηνία]*.log, βλέπετε το ακόλουθο σφάλμα:
29T20:21:34.6679184Z","Action":"RemoteDocumentEvaluator/RemoteEvaluation/HandleException","HostProcessId":"1396","identity":"DirectQueryPool","Exception":"Exception:\r\nExceptionType: Microsoft.Mashup.Engine1.Runtime.ValueException, Microsoft.MashupEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35\r\nMessage:
Όταν διερευνάτε περαιτέρω το ίδιο αρχείο, εμφανίζεται το ακόλουθο (μη βοηθητικό) σφάλμα:
No credentials are available in the security package
Η καταγραφή ανιχνεύσεων του Wireshark αποκαλύπτει το ακόλουθο σφάλμα: KRB5KDC_ERR_BADOPTION.
Συνήθως, αυτά τα σφάλματα σημαίνουν ότι το αρχείο SPN hdb/hana2-s4-sso2.westus2.cloudapp.azure.com μπορεί να βρεθεί, αλλά δεν βρίσκεται στις Υπηρεσίες στις οποίες αυτός ο λογαριασμός μπορεί να παρουσιάσει διαπιστευτήρια με ανάθεση στο τμήμα παραθύρου Ανάθεση στον λογαριασμό υπηρεσίας πύλης.
Επίλυση
Για να επιλύσετε το πρόβλημα Χωρίς διαπιστευτήρια , ακολουθήστε τα βήματα που περιγράφονται στην ενότητα Ρύθμιση παραμέτρων περιορισμένης ανάθεσης Kerberos. Όταν ολοκληρωθεί σωστά, η καρτέλα ανάθεσης στον λογαριασμό υπηρεσίας πύλης αντικατοπτρίζει το αρχείο βάσης δεδομένων HansaWorld (HDB) και το πλήρως προσδιορισμένο όνομα τομέα (FQDN) στη λίστα Υπηρεσιών στις οποίες αυτός ο λογαριασμός μπορεί να παρουσιάσει διαπιστευτήρια με ανάθεση.
Επικύρωση
Ακολουθώντας τα προηγούμενα βήματα θα πρέπει να επιλύσετε το πρόβλημα. Εάν εξακολουθείτε να αντιμετωπίζετε προβλήματα Kerberos, μπορεί να έχετε μια εσφαλμένη ρύθμιση παραμέτρων στην πύλη Power BI ή στον ίδιο τον διακομιστή HANA.
Σφάλματα διαπιστευτηρίων
Εάν αντιμετωπίζετε σφάλματα διαπιστευτηρίων, τα σφάλματα στα αρχεία καταγραφής ή τα ίχνη παρουσιάζουν σφάλματα που περιγράφουν Credentials are invalid ή παρόμοια σφάλματα. Αυτά τα σφάλματα μπορεί να εκδηλώνονται διαφορετικά στην πλευρά προέλευσης δεδομένων της σύνδεσης, όπως το SAP HANA. Η παρακάτω εικόνα εμφανίζει ένα παράδειγμα σφάλματος:
Σύμπτωμα 1
Στις ανιχνεύσεις ελέγχου ταυτότητας HANA, μπορεί να δείτε καταχωρήσεις παρόμοιες με το ακόλουθο μήνυμα:
[Authentication|manager.cpp:166] Kerberos: Using Service Principal
Name johnny@contoso.com@CONTOSO.COM with name type: GSS_KRB5_NT_PRINCIPAL_NAME
[Authentication|methodgssinitiator.cpp:367] Got principal name:
johnny@contoso.com@CONTOSO.COM
Επίλυση
Ακολουθήστε τις οδηγίες που περιγράφονται στο θέμα Ορισμός παραμέτρων ρύθμισης αντιστοίχισης χρηστών στον υπολογιστή πύλης, ακόμα και αν έχετε ήδη ρυθμίσει τις παραμέτρους της υπηρεσίας Microsoft Entra Σύνδεση.
Επικύρωση
Αφού ολοκληρώσετε την επικύρωση, μπορείτε να φορτώσετε με επιτυχία την αναφορά στον Υπηρεσία Power BI.
Σύμπτωμα 2
Στις ανιχνεύσεις ελέγχου ταυτότητας HANA, μπορεί να δείτε καταχωρήσεις παρόμοιες με την ακόλουθη καταχώρηση:
Authentication ManagerAcceptor.cpp(00233) : Extending list of expected
external names by johnny@CONTOSO.COM (method: GSS) Authentication
AuthenticationInfo.cpp(00168) : ENTER getAuthenticationInfo
(externalName=johnny@CONTOSO.COM) Authentication AuthenticationInfo.cpp(00237) :
Found no user with expected external name!
Επίλυση
Ελέγξτε το εξωτερικό αναγνωριστικό Kerberos στην περιοχή Χρήστης HANA για να προσδιορίσετε εάν τα αναγνωριστικά ταιριάζουν σωστά.
Επικύρωση
Αφού επιλύσετε το πρόβλημα, μπορείτε να δημιουργήσετε ή να ανανεώσετε αναφορές στον Υπηρεσία Power BI.
Σχετικό περιεχόμενο
Για περισσότερες πληροφορίες σχετικά με την πύλη δεδομένων εσωτερικής εγκατάστασης και το DirectQuery, ανατρέξτε στους παρακάτω πόρους:
Σχόλια
Σύντομα διαθέσιμα: Καθ' όλη τη διάρκεια του 2024 θα καταργήσουμε σταδιακά τα ζητήματα GitHub ως μηχανισμό ανάδρασης για το περιεχόμενο και θα το αντικαταστήσουμε με ένα νέο σύστημα ανάδρασης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα: https://aka.ms/ContentUserFeedback.
Υποβολή και προβολή σχολίων για