Κοινή χρήση μέσω

Χρήση γλώσσας σήμανσης διεκδίκησης ασφαλείας για SSO από το Power BI σε προελεύσεις δεδομένων εσωτερικής εγκατάστασης

  • Άρθρο

Ενεργοποιώντας την καθολική σύνδεση (SSO), μπορείτε να διευκολύνετε την ανανέωση δεδομένων για αναφορές και πίνακες εργαλείων Power BI από προελεύσεις εσωτερικής εγκατάστασης, ενώ σέβεστε τα δικαιώματα επιπέδου χρήστη που έχουν ρυθμιστεί σε αυτές τις προελεύσεις. Για να ενεργοποιήσετε απρόσκοπτη συνδεσιμότητα SSO, χρησιμοποιείτε τη γλώσσα σήμανσης διεκδίκησης ασφαλείας (SAML).

Σημείωμα

Μπορείτε να συνδεθείτε μόνο σε μία προέλευση δεδομένων χρησιμοποιώντας SAML καθολικής σύνδεσης με μια πύλη δεδομένων εσωτερικής εγκατάστασης. Για να συνδεθείτε σε μια επιπλέον προέλευση δεδομένων χρησιμοποιώντας SAML καθολικής σύνδεσης, πρέπει να χρησιμοποιήσετε διαφορετική πύλη δεδομένων εσωτερικής εγκατάστασης.

Υποστηριζόμενες προελεύσεις δεδομένων για SAML

Η Microsoft υποστηρίζει προς το παρόν SAP HANA με SAML. Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση καθολικής σύνδεσης για SAP HANA χρησιμοποιώντας το SAML, ανατρέξτε στο θέμα SSO SAML για την πλατφόρμα BI στο HANA.

Υποστηρίζουμε πρόσθετες προελεύσεις δεδομένων με το Kerberos (συμπεριλαμβανομένου του SAP HANA).

Για το SAP HANA, συνιστούμε να ενεργοποιήσετε κρυπτογράφηση πριν δημιουργήσετε μια σύνδεση SSO SAML. Για να ενεργοποιήσετε κρυπτογράφηση, ρυθμίστε τις παραμέτρους του διακομιστή HANA ώστε να αποδέχονται κρυπτογραφημένες συνδέσεις και, στη συνέχεια, ρυθμίστε τις παραμέτρους της πύλης για χρήση κρυπτογράφησης για επικοινωνία με τον διακομιστή HANA. Επειδή το πρόγραμμα οδήγησης ODBC HANA δεν κρυπτογραφεί ισχυρισμούς από προεπιλογή, ο υπογεγραμμένος ισχυρισμός SAML αποστέλλεται από την πύλη στον διακομιστή HANA με ασφάλεια και είναι ευάλωτος σε παρεμβολές και επαναχρησιμοποίηση από τρίτους.

Σημαντικό

Επειδή το SAP δεν υποστηρίζει πλέον OpenSSL, η Microsoft έχει διακόψει επίσης την υποστήριξή της. Οι υπάρχουσες συνδέσεις σας εξακολουθούν να λειτουργούν, αλλά δεν μπορείτε πλέον να δημιουργήσετε νέες συνδέσεις. Αντί για αυτό, χρησιμοποιήστε τη Βιβλιοθήκη κρυπτογράφησης SAP (CommonCryptoLib) ή το sapcrypto.

Ρύθμιση παραμέτρων πύλης και προέλευσης δεδομένων

Για να χρησιμοποιήσετε SAML, πρέπει να δημιουργήσετε μια σχέση αξιοπιστίας μεταξύ των διακομιστών HANA για τους οποίους θέλετε να ενεργοποιήσετε το SSO και της πύλης. Σε αυτό το σενάριο, η πύλη λειτουργεί ως υπηρεσία παροχής ταυτότητας (IdP) SAML. Μπορείτε να δημιουργήσετε αυτήν τη σχέση με διάφορους τρόπους. Η SAP συνιστά να χρησιμοποιήσετε το CommonCryptoLib για να ολοκληρώσετε τα βήματα ρύθμισης. Για περισσότερες πληροφορίες, ανατρέξτε στην επίσημη τεκμηρίωση του SAP.

Δημιουργία πιστοποιητικών

Μπορείτε να δημιουργήσετε μια σχέση αξιοπιστίας μεταξύ ενός διακομιστή HANA και της IdP πύλης με την υπογραφή του πιστοποιητικού X509 της IdP της πύλης με μια αρχή έκδοσης πιστοποιητικών ρίζας (CA) που θεωρείται αξιόπιστη από τον διακομιστή HANA.

Για να δημιουργήσετε τα πιστοποιητικά, κάντε τα εξής:

  1. Στη συσκευή στην οποία εκτελείται το SAP HANA, δημιουργήστε έναν κενό φάκελο για να αποθηκεύσετε τα πιστοποιητικά σας και, στη συνέχεια, μεταβείτε σε αυτόν τον φάκελο.

  2. Δημιουργήστε τα πιστοποιητικά ρίζας εκτελώντας την ακόλουθη εντολή:

    openssl req -new -x509 -newkey rsa:2048 -days 3650 -sha256 -keyout CA_Key.pem -out CA_Cert.pem -extensions v3_ca'''

    Βεβαιωθείτε ότι έχετε αντιγράψει και αποθηκεύσει τη φράση πρόσβασης για να χρησιμοποιήσετε αυτό το πιστοποιητικό για την υπογραφή άλλων πιστοποιητικών. Θα πρέπει να δείτε να δημιουργούνται τα αρχεία CA_Cert.pem και CA_Key.pem .

  3. Δημιουργήστε τα πιστοποιητικά IdP εκτελώντας την ακόλουθη εντολή:

    openssl req -newkey rsa:2048 -days 365 -sha256 -keyout IdP_Key.pem -out IdP_Req.pem -nodes

    Θα πρέπει να δείτε να δημιουργούνται τα αρχεία IdP_Key.pem και IdP_Req.pem .

  4. Υπογράψτε τα πιστοποιητικά IdP με τα πιστοποιητικά ρίζας:

    openssl x509 -req -days 365 -in IdP_Req.pem -sha256 -extensions usr_cert -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out IdP_Cert.pem

    Θα πρέπει να δείτε να δημιουργούνται τα αρχεία CA_Cert.srl και IdP_Cert.pem . Προς το παρόν, σας ενδιαφέρει μόνο το αρχείο IdP_Cert.pem .

Δημιουργία αντιστοίχισης για το πιστοποιητικό υπηρεσίας παροχής ταυτότητας SAML

Για να δημιουργήσετε αντιστοίχιση για το πιστοποιητικό υπηρεσίας παροχής ταυτότητας SAML, κάντε τα εξής:

  1. Στο SAP HANA Studio, κάντε δεξί κλικ στο όνομα διακομιστή SAP HANA και, στη συνέχεια, επιλέξτε Ασφάλεια>Άνοιγμα κονσόλας>ασφαλείας Υπηρεσία παροχής SAML.

  2. Επιλέξτε Βιβλιοθήκη κρυπτογράφησης SAP. Μην χρησιμοποιήσετε την επιλογή Βιβλιοθήκη κρυπτογράφησης OpenSSL, η οποία έχει καταργηθεί από το SAP.

    Screenshot of the

  3. Για να εισαγάγετε το υπογεγραωμένο πιστοποιητικό IdP_Cert.pem, επιλέξτε το μπλε κουμπί Εισαγωγή , όπως φαίνεται στην παρακάτω εικόνα:

    Screenshot of the

  4. Μην ξεχάσετε να αντιστοιχίσετε ένα όνομα για την υπηρεσία παροχής ταυτοτήτων σας.

Εισαγωγή και δημιουργία των υπογεγραμμένων πιστοποιητικών στο HANA

Για να εισαγάγετε και να δημιουργήσετε τα υπογεγραμμένα πιστοποιητικά στο HANA, κάντε τα εξής:

  1. Στο SAP HANA Studio, εκτελέστε το ακόλουθο ερώτημα:

    CREATE CERTIFICATE FROM '<idp_cert_pem_certificate_content>'

    Ακολουθεί ένα παράδειγμα:

    CREATE CERTIFICATE FROM
'-----BEGIN CERTIFICATE-----
MIIDyDCCArCgA...veryLongString...0WkC5deeawTyMje6
-----END CERTIFICATE-----
'

  2. Εάν δεν υπάρχει προσωπικό περιβάλλον ασφάλειας (PSE) με SAML σκοπού, δημιουργήστε ένα εκτελώντας το ακόλουθο ερώτημα στο SAP HANA Studio:

    CREATE PSE SAMLCOLLECTION;
set pse SAMLCOLLECTION purpose SAML;

  3. Προσθέστε το υπογεγραωμένο πιστοποιητικό που μόλις δημιουργήσατε στο PSE εκτελώντας την ακόλουθη εντολή:

    alter pse SAMLCOLLECTION add CERTIFICATE <certificate_id>;

    Για παράδειγμα:

    alter pse SAMLCOLLECTION add CERTIFICATE 1978320;

    Μπορείτε να ελέγξετε τη λίστα των δημιουργημένων πιστοποιητικών εκτελώντας το ακόλουθο ερώτημα:

    select * from PUBLIC"."CERTIFICATES"

    Το πιστοποιητικό έχει εγκατασταθεί πλέον σωστά. Για να επιβεβαιώσετε την εγκατάσταση, μπορείτε να εκτελέσετε το ακόλουθο ερώτημα:

    select * from "PUBLIC"."PSE_CERTIFICATES"

Αντιστοίχιση του χρήστη

Για να αντιστοιχίστε τον χρήστη, κάντε τα εξής:

  1. Στο SAP HANA Studio, επιλέξτε τον φάκελο Ασφάλεια .

    Screenshot of the Security folder structure on the left pane.

  2. Αναπτύξτε την επιλογή Χρήστες και, στη συνέχεια, επιλέξτε τον χρήστη που θέλετε να αντιστοιχίστε στον χρήστη σας Power BI.

  3. Επιλέξτε το πλαίσιο ελέγχου SAML και, στη συνέχεια, επιλέξτε Ρύθμιση παραμέτρων, όπως φαίνεται στην παρακάτω εικόνα:

    Screenshot of the

  4. Επιλέξτε την υπηρεσία παροχής ταυτότητας που δημιουργήσατε στην ενότητα Δημιουργία αντιστοίχισης για την υπηρεσία παροχής ταυτότητας SAML. Ως Εξωτερική ταυτότητα, εισαγάγετε το UPN χρήστη του Power BI (συνήθως, τη διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιεί ο χρήστης για είσοδο στο Power BI) και, στη συνέχεια, επιλέξτε Προσθήκη.

    Screenshot of the

    Εάν έχετε ρυθμίσει την πύλη σας ώστε να χρησιμοποιεί την επιλογή ρύθμισης παραμέτρων ADUserNameReplacementProperty , εισαγάγετε την τιμή που θα αντικαταστήσει το αρχικό UPN του χρήστη του Power BI. Για παράδειγμα, εάν ορίσετε την ADUserNameReplacementProperty σε SAMAccountName, εισαγάγετε την SAMAccountName του χρήστη.

Ρύθμιση παραμέτρων της πύλης

Τώρα που έχετε ρυθμίσει τις παραμέτρους του πιστοποιητικού πύλης και της ταυτότητας, μετατρέψτε το πιστοποιητικό σε μορφή αρχείου PFX και, στη συνέχεια, ρυθμίστε τις παραμέτρους της πύλης ώστε να χρησιμοποιούν το πιστοποιητικό κάνοντας τα εξής:

  1. Μετατρέψτε το πιστοποιητικό σε μορφή PFX εκτελώντας την ακόλουθη εντολή. Αυτή η εντολή ονομάζει το αρχείο samlcert.pfx που προκύπτει και ορίζει τον κωδικό πρόσβασής του σε root , όπως φαίνεται εδώ:

    openssl pkcs12 -export -out samltest.pfx -in IdP_Cert.pem -inkey IdP_Key.pem -passin pass:root -passout pass:root

  2. Αντιγράψτε το αρχείο PFX στον υπολογιστή πύλης:

    a. Κάντε διπλό κλικ στο samltest.pfx και, στη συνέχεια, επιλέξτε Τοπικός υπολογιστής>Επόμενο.

    β. Εισαγάγετε τον κωδικό πρόσβασης και, στη συνέχεια, επιλέξτε Επόμενο.

    γ. Επιλέξτε Τοποθέτηση όλων των πιστοποιητικών στον ακόλουθο χώρο αποθήκευσης και, στη συνέχεια, επιλέξτε Αναζήτηση>για προσωπική>χρήση OK.

    Screenshot of the

    δ. Επιλέξτε Επόμενο και, στη συνέχεια, επιλέξτε Τέλος.

  3. Για να εκχωρήσετε στον λογαριασμό υπηρεσίας πύλης πρόσβαση στο ιδιωτικό κλειδί του πιστοποιητικού, κάντε τα εξής:

    a. Στον υπολογιστή πύλης, εκτελέστε την Κονσόλα διαχείρισης της Microsoft (MMC).

    Screenshot of the gateway machine

    β. Στην MMC, επιλέξτε Προσθήκη/Κατάργηση αρχείου>συμπληρωματικού προγράμματος.

    Screenshot of the

    γ. Επιλέξτε Πιστοποιητικά>Προσθήκη και, στη συνέχεια, επιλέξτε Λογαριασμός>υπολογιστή Επόμενο.

    δ. Επιλέξτε Τοπικός υπολογιστής>Τέλος>OK.

    ε. Αναπτύξτε την>επιλογή Προσωπικά>πιστοποιητικά πιστοποιητικών και, στη συνέχεια, αναζητήστε το πιστοποιητικό.

    στ. Κάντε δεξί κλικ στο πιστοποιητικό και, στη συνέχεια, επιλέξτε Όλες οι εργασίες>Διαχείριση ιδιωτικών κλειδιών.

    Screenshot of the

    χ. Προσθέστε τον λογαριασμό υπηρεσίας πύλης στη λίστα. Από προεπιλογή, ο λογαριασμός είναι NT SERVICE\PBIEgwService. Μπορείτε να μάθετε ποιος λογαριασμός εκτελεί την υπηρεσία πύλης εκτελώντας το services.msc και, στη συνέχεια, αναζητώντας την υπηρεσία πύλης δεδομένων εσωτερικής εγκατάστασης.

    Screenshot of the

Τέλος, προσθέστε το αποτύπωμα πιστοποιητικού στη ρύθμιση παραμέτρων της πύλης:

  1. Για να καταχωρήσετε τα πιστοποιητικά στον υπολογιστή σας, εκτελέστε την ακόλουθη εντολή PowerShell:

    Get-ChildItem -path cert:\LocalMachine\My

  2. Αντιγράψτε το αποτύπωμα για το πιστοποιητικό που δημιουργήσατε.

  3. Μεταβείτε στον κατάλογο πύλης, ο οποίος είναι C:\Program Files\On-premises data gateway από προεπιλογή.

  4. Ανοίξτε το PowerBI.DataMovement.Pipeline.GatewayCore.dll.config και, στη συνέχεια, αναζητήστε την ενότητα SapHanaSAMLCertThumbprint . Επικολλήστε το αποτύπωμα που αντιγράψατε στο βήμα 2.

  5. Επανεκκινήστε την υπηρεσία πύλης.

Εκτέλεση αναφοράς Power BI

Τώρα μπορείτε να χρησιμοποιήσετε τη σελίδα Διαχείριση πύλης στο Power BI για να ρυθμίσετε τις παραμέτρους της προέλευσης δεδομένων SAP HANA. Στην περιοχή Για προχωρημένους Ρυθμίσεις, ενεργοποιήστε SSO μέσω SAML. Με αυτόν τον τρόπο, μπορείτε να δημοσιεύσετε αναφορές και σύνολα δεδομένων που συνδέονται σε αυτήν την προέλευση δεδομένων.

Screenshot of advanced settings with single sign-on for SAML.

Σημείωμα

Το SSO χρησιμοποιεί έλεγχο ταυτότητας των Windows, ώστε να βεβαιωθείτε ότι ο λογαριασμός windows μπορεί να έχει πρόσβαση στον υπολογιστή πύλης. Εάν δεν είστε βέβαιοι, βεβαιωθείτε ότι έχετε προσθέσει το NT-AUTHORITY\Authenticated Users (S-1-5-11) στην ομάδα "Χρήστες" του τοπικού υπολογιστή.

Αντιμετώπιση προβλημάτων με τη χρήση ΤΟΥ SAML για καθολική σύνδεση στο SAP HANA

Αυτή η ενότητα παρέχει εκτεταμένα βήματα για την αντιμετώπιση προβλημάτων με τη χρήση του SAML για καθολική σύνδεση στο SAP HANA. Η χρήση αυτών των βημάτων μπορεί να σας βοηθήσει να διαγνώσετε τον εαυτό σας και να διορθώσετε τυχόν προβλήματα που ενδέχεται να αντιμετωπίσετε.

Διαπιστευτήρια που απορρίφθηκαν

Αφού ρυθμίσετε τις παραμέτρους SSO βάσει SAML, μπορεί να δείτε το ακόλουθο σφάλμα στην πύλη Power BI: "Τα παρεχόμενα διαπιστευτήρια δεν μπορούν να χρησιμοποιηθούν για την προέλευση SapHana." Αυτό το σφάλμα υποδεικνύει ότι τα διαπιστευτήρια SAML απορρίφθηκαν από το SAP HANA.

Οι ανιχνεύσεις ελέγχου ταυτότητας στην πλευρά του διακομιστή παρέχουν λεπτομερείς πληροφορίες για την αντιμετώπιση προβλημάτων σχετικά με τα διαπιστευτήρια στο SAP HANA. Για να ρυθμίσετε τις παραμέτρους ανίχνευσης για τον διακομιστή ΣΑς SAP HANA, κάντε τα εξής:

  1. Στον διακομιστή SAP HANA, ενεργοποιήστε την ανίχνευση ελέγχου ταυτότητας εκτελώντας το ακόλουθο ερώτημα:

    ALTER SYSTEM ALTER CONFIGURATION ('indexserver.ini', 'SYSTEM') set ('trace', 'authentication') = 'debug' with reconfigure

  2. Αναπαραγάγετε το πρόβλημα.

  3. Στο SAP HANA Studio, ανοίξτε την κονσόλα διαχείρισης και, στη συνέχεια, επιλέξτε την καρτέλα Αρχεία διαγνωστικού ελέγχου.

  4. Ανοίξτε την πιο πρόσφατη ανίχνευση διακομιστή ευρετηρίου και, στη συνέχεια, αναζητήστε SAMLAuthenticator.cpp.

    Θα πρέπει να βρείτε ένα λεπτομερές μήνυμα σφάλματος που υποδεικνύει τη βασική αιτία, όπως φαίνεται στο παρακάτω παράδειγμα:

    [3957]{-1}[-1/-1] 2018-09-11 21:40:23.815797 d Authentication   SAMLAuthenticator.cpp(00091) : Element '{urn:oasis:names:tc:SAML:2.0:assertion}Assertion', attribute 'ID': '123123123123123' is not a valid value of the atomic type 'xs:ID'.
[3957]{-1}[-1/-1] 2018-09-11 21:40:23.815914 i Authentication   SAMLAuthenticator.cpp(00403) : No valid SAML Assertion or SAML Protocol detected

  5. Αφού ολοκληρώσετε την αντιμετώπιση προβλημάτων, απενεργοποιήστε την ανίχνευση ελέγχου ταυτότητας εκτελώντας το ακόλουθο ερώτημα:

    ALTER SYSTEM ALTER CONFIGURATION ('indexserver.ini', 'SYSTEM') UNSET ('trace', 'authentication');

Επαλήθευση και αντιμετώπιση προβλημάτων σφαλμάτων πύλης

Για να ακολουθήσετε τις διαδικασίες σε αυτή την ενότητα, χρειάζεται να συλλέξετε αρχεία καταγραφής πύλης.

Σφάλμα SSL (πιστοποιητικό)

Συμπτώματα σφάλματος

Αυτό το πρόβλημα έχει πολλαπλά συμπτώματα. Όταν προσπαθήσετε να προσθέσετε μια νέα προέλευση δεδομένων, μπορεί να δείτε ένα μήνυμα σφάλματος όπως το εξής:

Unable to connect: We encountered an error while trying to connect to . Details: "We could not register this data source for any gateway instances within this cluster. Please find more details below about specific errors for each gateway instance."

Όταν προσπαθήσετε να δημιουργήσετε ή ανανεώσετε μια αναφορά, μπορεί να δείτε ένα μήνυμα σφάλματος όπως αυτό στην παρακάτω εικόνα:

Screenshot of a 'Cannot load model' troubleshooting SSL error window.

Όταν διερευνάτε τον συνδυασμό δεδομένων[ημερομηνία]*.log, θα δείτε το ακόλουθο μήνυμα σφάλματος:

A connection was successfully established with the server, but then an error occurred during the login process and the certificate chain was issued by an authority that is not trusted

Επίλυση

Για να επιλύσετε αυτό το σφάλμα SSL, μεταβείτε στη σύνδεση προέλευσης δεδομένων και, στη συνέχεια, στην αναπτυσσόμενη λίστα Επικύρωση πιστοποιητικού διακομιστή, επιλέξτε Όχι, όπως φαίνεται στην παρακάτω εικόνα:

Screenshot showing the S S L error being resolved on the 'Data Source Settings' pane.

Αφού επιλέξετε αυτήν τη ρύθμιση, το μήνυμα σφάλματος δεν θα εμφανίζεται πλέον.

Σφάλμα Gateway SignXML

Το σφάλμα SignXML πύλης μπορεί να είναι το αποτέλεσμα λανθασμένων ρυθμίσεων SapHanaSAMLCertThumbprint ή μπορεί να αποτελέσει πρόβλημα με τον διακομιστή HANA. Οι καταχωρήσεις στα αρχεία καταγραφής πύλης σάς βοηθούν να προσδιορίσετε πού βρίσκεται το πρόβλημα και πώς να το επιλύσετε.

Συμπτώματα σφάλματος

Καταχωρήσεις καταγραφής για SignXML: Found the cert...: Εάν το αρχείο gatewayInfo[date].log περιέχει αυτό το σφάλμα, το πιστοποιητικό SignXML βρέθηκε και οι προσπάθειές σας αντιμετώπισης προβλημάτων θα πρέπει να επικεντρωθούν στα βήματα που βρίσκονται στην ενότητα "Επαλήθευση και αντιμετώπιση προβλημάτων στην πλευρά του διακομιστή HANA" .

Καταχωρήσεις καταγραφής για Couldn't find saml cert: Εάν το αρχείο GatewayInfo[date].log περιέχει αυτό το σφάλμα, το SapHanaSAMLCertThumbprint έχει οριστεί εσφαλμένα. Η παρακάτω ενότητα επίλυσης περιγράφει τον τρόπο επίλυσης του ζητήματος.

Επίλυση

Για να ορίσετε σωστά το SapHanaSAMLCertThumbprint, ακολουθήστε τις οδηγίες στην ενότητα "Ρύθμιση παραμέτρων πύλης" . Οι οδηγίες ξεκινούν με Τέλος, προσθέστε το αποτύπωμα πιστοποιητικού στη ρύθμιση παραμέτρων της πύλης.

Αφού αλλάξετε το αρχείο ρύθμισης παραμέτρων, πρέπει να επανεκκινήσετε την υπηρεσία πύλης για να εφαρμοστεί η αλλαγή.

Επικύρωση

Όταν ρυθμιστεί σωστά το SapHanaSAMLCertThumbprint , τα αρχεία καταγραφής πύλης σας θα έχουν καταχωρήσεις που περιλαμβάνουν SignXML: Found the cert.... Σε αυτό το σημείο, θα πρέπει να μπορείτε να συνεχίσετε στην ενότητα "Επαλήθευση και αντιμετώπιση προβλημάτων στην πλευρά του διακομιστή HANA" .

Εάν η πύλη δεν μπορεί να χρησιμοποιήσει το πιστοποιητικό για να υπογράψει τη διεκδίκηση SAML, μπορεί να δείτε ένα σφάλμα στα αρχεία καταγραφής που είναι παρόμοιο με το ακόλουθο:

GatewayPipelineErrorCode=DM_GWPipeline_UnknownError GatewayVersion= InnerType=CryptographicException InnerMessage=<pi>Signing key is not loaded.</pi> InnerToString=<pi>System.Security.Cryptography.CryptographicException: Signing key is not loaded.

Για να επιλύσετε αυτό το σφάλμα, ακολουθήστε τις οδηγίες που ξεκινούν με το βήμα 3 στην ενότητα "Ρύθμιση παραμέτρων της πύλης" .

Αφού αλλάξετε τη ρύθμιση παραμέτρων, επανεκκινήστε την υπηρεσία πύλης για να εφαρμοστεί η αλλαγή.

Επαλήθευση και αντιμετώπιση προβλημάτων στην πλευρά του διακομιστή HANA

Χρησιμοποιήστε τις λύσεις σε αυτή την ενότητα εάν η πύλη μπορεί να βρει το πιστοποιητικό και να υπογράψει τη διεκδίκηση SAML, αλλά εξακολουθείτε να αντιμετωπίζετε σφάλματα. Θα χρειαστεί να συλλέξετε ίχνη ελέγχου ταυτότητας HANA, όπως περιγράφεται παραπάνω στην ενότητα "Απορριφθέντα διαπιστευτήρια".

Η υπηρεσία παροχής ταυτότητας SAML

Η παρουσία της Found SAML provider συμβολοσειράς στις ανιχνεύσεις ελέγχου ταυτότητας HANA υποδεικνύει ότι η υπηρεσία παροχής ταυτότητας SAML έχει ρυθμιστεί σωστά. Εάν η συμβολοσειρά δεν υπάρχει, η ρύθμιση παραμέτρων δεν είναι σωστή.

Επίλυση

Πρώτα, προσδιορίστε εάν ο οργανισμός σας χρησιμοποιεί OpenSSL ή commoncrypto ως sslcryptoprovider. Για να προσδιορίσετε ποια υπηρεσία παροχής χρησιμοποιείται, κάντε τα εξής:

  1. Ανοίξτε το SAP HANA Studio.

  2. Ανοίξτε την κονσόλα Διαχείριση διαχείρισης για τον μισθωτή που χρησιμοποιείτε.

  3. Επιλέξτε την καρτέλα Ρύθμιση παραμέτρων και χρησιμοποιήστε το sslcryptoprovider ως φίλτρο, όπως φαίνεται στην παρακάτω εικόνα:

    Screenshot of the sslcryptoprovider information in SAP HANA Studio.

Στη συνέχεια, επαληθεύστε ότι η βιβλιοθήκη κρυπτογράφησης έχει οριστεί σωστά, κάνοντας τα εξής:

  1. Μεταβείτε στην κονσόλα ασφαλείας στο SAP HANA Studio επιλέγοντας την καρτέλα Υπηρεσίες παροχής ταυτότητας SAML και κάντε ένα από τα εξής:

    • Εάν το sslcryptoprovider είναι OpenSSL, επιλέξτε Βιβλιοθήκη κρυπτογράφησης OpenSSL.
    • Εάν το sslcryptoprovider είναι commonCrypto, επιλέξτε Βιβλιοθήκη κρυπτογράφησης SAP.

    Στην παρακάτω εικόνα, είναι επιλεγμένη η Βιβλιοθήκη κρυπτογράφησης SAP:

    Screenshot of SAP HANA Studio with 'SAP Cryptographic Library' selected as the sslcryptoprovider.

  2. Αναπτύξτε τις αλλαγές σας επιλέγοντας το κουμπί Ανάπτυξη στην επάνω δεξιά γωνία, όπως φαίνεται στην παρακάτω εικόνα:

    Screenshot of the 'Deploy' button for deploying your solution changes.

Επικύρωση

Όταν οι ανιχνεύσεις έχουν ρυθμιστεί σωστά, θα Found SAML provider αναφέρουν και δεν θα αναφέρουν SAML Provider not found. Μπορείτε να συνεχίσετε στην επόμενη ενότητα, "Αντιμετώπιση προβλημάτων με την υπογραφή διεκδίκησης SAML."

Εάν η υπηρεσία παροχής κρυπτογράφησης έχει οριστεί αλλά SAML Provider not found εξακολουθεί να αναφέρεται, αναζητήστε μια συμβολοσειρά στην ανίχνευση που ξεκινά με το ακόλουθο κείμενο:

Search SAML provider for certificate with subject =

Σε αυτήν τη συμβολοσειρά, βεβαιωθείτε ότι το θέμα και ο εκδότης είναι ακριβώς τα ίδια με αυτά που εμφανίζονται στην καρτέλα υπηρεσίας παροχής ταυτότητας SAML στην κονσόλα ασφαλείας. Μια διαφορά ακόμη και ενός μεμονωμένου χαρακτήρα μπορεί να προκαλέσει το πρόβλημα. Εάν διαπιστώσετε κάποια διαφορά, μπορείτε να διορθώσετε το πρόβλημα στη βιβλιοθήκη κρυπτογράφησης SAP, έτσι ώστε οι καταχωρήσεις να ταιριάζουν απόλυτα.

Αν η αλλαγή της βιβλιοθήκης κρυπτογράφησης SAP δεν διορθώσει το πρόβλημα, μπορείτε να επεξεργαστείτε με μη αυτόματο τρόπο τα πεδία Εκδόθηκε σε και Εκδόθηκε από , απλώς κάνοντας διπλό κλικ σε αυτά.

Αντιμετώπιση προβλημάτων με την υπογραφή διεκδίκησης SAML

Μπορεί να βρείτε ανιχνεύσεις ελέγχου ταυτότητας HANA που περιέχουν καταχωρήσεις παρόμοιες με τις εξής:

[48163]{-1}[-1/-1] 2020-09-11 21:15:18.896165 i Authentication SAMLAuthenticator.cpp(00398) : Unable to verify XML signature [48163]{-1}[-1/-1] 2020-09-11 21:15:18.896168 i Authentication MethodSAML.cpp(00103) : unsuccessful login attempt with SAML ticket!

Η παρουσία τέτοιων καταχωρήσεων σημαίνει ότι η υπογραφή δεν είναι αξιόπιστη.

Επίλυση

Εάν χρησιμοποιείτε OpenSSL ως το sslcryptoprovider, ελέγξτε για να δείτε εάν τα αρχεία trust.pem και key.pem βρίσκονται στον κατάλογο SSL. Για περισσότερες πληροφορίες, ανατρέξτε στο ιστολόγιο SAP Εξασφάλιση της επικοινωνίας μεταξύ των SAP HANA Studio και SAP HANA Server μέσω SSL.

Εάν χρησιμοποιείτε το commoncrypto ως το sslcryptoprovider, ελέγξτε αν υπάρχει συλλογή με το πιστοποιητικό σας στον μισθωτή.

Επικύρωση

Όταν οι ανιχνεύσεις έχουν ρυθμιστεί σωστά, θα αναφέρουν Found valid XML signature.

Αντιμετώπιση προβλημάτων με την αντιστοίχιση UPN

Μπορεί να βρείτε ανιχνεύσεις HANA που περιέχουν καταχωρήσεις παρόμοιες με τις εξής:

SAMLAuthenticator.cpp(00886) : Assertion Subject NameID: `johnny@contoso.com` SAMLAuthenticator.cpp(00398) : Database user does not exist

Το σφάλμα υποδεικνύει ότι το nameId johnny@contoso.com βρίσκεται στις διεκδικήσεις SAML, αλλά δεν υπάρχει ή δεν έχει αντιστοιχιστεί σωστά στον διακομιστή HANA.

Επίλυση

Μεταβείτε στον χρήστη της βάσης δεδομένων HANA και, κάτω από το επιλεγμένο πλαίσιο ελέγχου SAML, επιλέξτε τη σύνδεση Ρύθμιση παραμέτρων . Εμφανίζεται το ακόλουθο παράθυρο:

Screenshot showing that the incorrect user name is displayed.

Όπως περιγράφει το μήνυμα σφάλματος, η HANA προσπαθούσε να βρει johnny@contoso.comτο , αλλά η εξωτερική ταυτότητα εμφανίζεται μόνο ως Johnny. Αυτές οι δύο τιμές πρέπει να συμφωνούν. Για να επιλύσετε το πρόβλημα, στην περιοχή Εξωτερική ταυτότητα, αλλάξτε την τιμή σε johnny@contoso.com. Σημειώστε ότι σε αυτήν την τιμή γίνεται διάκριση πεζών-κεφαλαίων.

Σχετικό περιεχόμενο

Για περισσότερες πληροφορίες σχετικά με την πύλη δεδομένων εσωτερικής εγκατάστασης και το DirectQuery, ανατρέξτε στους παρακάτω πόρους: