Jaa

Kerberoksen käyttäminen kertakirjautumista varten SAP HANA:ssa

  • Artikkeli

Tässä artikkelissa kerrotaan, miten voit määrittää SAP HANA -tietolähteesi ottamaan käyttöön kertakirjautumisen (SSO) Power BI -palvelussa.

Tärkeä

SAP ei enää tue OpenSSL:ää, koska se on myös lopettanut sen tuen. Aiemmin luodut yhteytesi toimivat edelleen, mutta et voi enää luoda uusia yhteyksiä. Käytä sen sijaan SAP-salauskirjastoa (CommonCryptoLib) tai sapcryptoa.

Muistiinpano

Ennen kuin yrität päivittää SAP HANA -pohjaisen raportin, joka käyttää Kerberos-kertakirjautumista, suorita sekä tämän artikkelin että Kerberos-kertakirjautumisen määrittäminen vaiheet.

Kertakirjautumisen ottaminen käyttöön SAP HANAssa

Jos haluat ottaa kertakirjautumisen käyttöön SAP HANA:ssa, toimi seuraavasti:

  1. Varmista, että SAP HANA -palvelin käyttää vaadittua vähimmäisversiota, joka riippuu SAP HANA -palvelimesi käyttöympäristötasosta:

  2. Asenna yhdyskäytävätietokoneeseen uusin SAP HANA ODBC -ohjain. Vähimmäisversio on HANA ODBC 2.00.020.00 elokuulta 2017.

  3. Varmista, että SAP HANA -palvelin on määritetty Kerberos-pohjaista kertakirjautumista varten. Lisätietoja kertakirjautumisen määrittämisestä Kerberoksen avulla SAP HANA:lle on kohdassa Kertakirjautuminen Kerberoksen avulla. Katso myös kyseisen sivun linkit, erityisesti SAP Note 1837331 – HOWTO HANA DBSSO Kerberos/Active Directory.

Suosittelemme myös seuraamaan seuraavia lisävaiheita, jotka voivat parantaa suorituskykyä jonkin verran:

  1. Etsi ja avaa seuraava määritystiedosto yhdyskäytävän asennushakemistosta: Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.

  2. Etsi FullDomainResolutionEnabled ominaisuus ja muuta sen arvoksi True.

    <setting name=" FullDomainResolutionEnabled " serializeAs="String">
      <value>True</value>
</setting>

  3. Suorita Power BI -raportti.

Vianmääritys

Tässä osiossa on ohjeita Kerberoksen vianmääritykseen kertakirjautumista (SSO) varten SAP HANA :ssa Power BI -palvelussa. Näiden vianmääritysvaiheiden avulla voit itse diagnosoida ja korjata monia ongelmia, joita saatat kohdata.

Jotta voit noudattaa tämän osion vaiheita, sinun on kerättävä yhdyskäytävälokeja.

TLS/SSL-virhe (varmenne)

Tällä ongelmalla on useita oireita.

  • Kun yrität lisätä uuden tietolähteen, saatat saada seuraavankaltaisen virheen:

    Unable to connect: We encountered an error while trying to connect to.
Details: "We could not register this data source for any gateway
instances within this cluster.
Please find more details below about specific errors for each gateway instance."

  • Kun yrität luoda tai päivittää raporttia, saatat saada seuraavan virhesanoman:

    Näyttökuva TLS/SSL-virheikkunan vianmäärityksen

  • Kun tutkit Mashup[date]*.log, näet seuraavan virhesanoman:

    A connection was successfully established with the server, 
but then an error occurred during the login process and 
the certificate chain was issued by an authority that is not trusted.

Ratkaisu

Voit korjata tämän TLS/SSL-virheen siirtymällä tietolähdeyhteyteen ja poistamalla asetuksen käytöstä Vahvista palvelinvarmenne -osiossa seuraavassa kuvassa esitetyllä tavalla:

Näyttökuva TLS/SSL-virheikkunan ratkaisemisesta poistamalla varmenne käytöstä.

Kun olet poistanut tämän asetuksen käytöstä, virhesanoma ei enää näy.

Tekeytyminen

Tekeytymisen lokimerkinnät sisältävät merkintöjä, jotka muistuttavat seuraavia:

About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation).

Tämän lokimerkinnän tärkein elementti ovat tiedot, jotka näytetään merkinnän ImpersonationLevel: jälkeen. Mikä tahansa arvo, joka eroaa Impersonation siitä, että tekeytyminen ei esiinny oikein.

Ratkaisu

Voit määrittää oikein ImpersonationLevel noudattamalla ohjeita kohdassa Paikallisen käytännön oikeuksien myöntäminen yhdyskäytävälle.

Kun olet muuttanut määritystiedostoa, käynnistä yhdyskäytäväpalvelu uudelleen, jotta muutos tulee voimaan.

Vahvistus

Päivitä tai luo raportti ja kerää sitten yhdyskäytävälokit. Avaa uusin GatewayInfo-tiedosto ja tarkista seuraava merkkijono: About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation). Varmista, että ImpersonationLevel asetus palauttaa arvon Impersonation.

Delegointi

Delegointiongelmat näkyvät yleensä Power BI -palvelussa yleisinä virheinä. Varmista, ettei ongelmassa ole delegointiongelma, kerää Wireshark-jäljitystiedostoja ja käytä Kerberosta suodattimena. Lisätietoja Wiresharkista ja tietoja Kerberos-virheistä on artikkelissa Kerberos-virheet verkkosieppatuksissa.

Seuraavat oireet ja vianmääritysvaiheet voivat auttaa korjaamaan joitakin yleisiä ongelmia.

Palvelun päänimen ongelmat

Jos näet seuraavan virheen: The import [table] matches no exports. Did you miss a module reference?: tutkiessasi Mashup[date]*.log, kohtaat palvelun päänimen (SPN) ongelmia.

Kun tutkit asiaa tarkemmin Wireshark-jäljitysten avulla, saat selville virheen KRB4KDC_ERR_S_PRINCIPAL_UNKOWN, mikä tarkoittaa sitä, että palvelun päänimeä ei löytynyt tai sitä ei ole olemassa. Seuraavassa kuvassa on esimerkki:

Näyttökuvassa näkyy palvelun päänimen virhe.

Ratkaisu

SpN:n ongelmien, kuten tämän ongelman, ratkaisemiseksi sinun on lisättävä palvelun päänimi palvelutiliin. Lisätietoja on SAP-dokumentaatiossa Kerberoksen määrittäminen SAP HANA -tietokantaisännöille.

Noudata lisäksi seuraavassa osiossa kuvattuja ratkaisuohjeita.

Ei tunnistetieto-ongelmia

Tähän ongelmaan ei välttämättä liity selviä oireita. Kun tutkit Mashup[date]*.log, näet seuraavan virheen:

29T20:21:34.6679184Z","Action":"RemoteDocumentEvaluator/RemoteEvaluation/HandleException","HostProcessId":"1396","identity":"DirectQueryPool","Exception":"Exception:\r\nExceptionType: Microsoft.Mashup.Engine1.Runtime.ValueException, Microsoft.MashupEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35\r\nMessage:

Kun tutkit samaa tiedostoa tarkemmin, näyttöön tulee seuraava (hyödyttömä) virhe:

No credentials are available in the security package

Wireshark-jäljitysten tallentaminen paljastaa seuraavan virheen: KRB5KDC_ERR_BADOPTION.

Näyttökuva, jossa näkyy Ei tunnistetietoja -virhe.

Yleensä nämä virheet tarkoittavat sitä, että SPN hdb/hana2-s4-sso2.westus2.cloudapp.azure.com -tiedosto voidaan löytää, mutta sitä ei ole Palveluissa , joille tämä tili voi esittää delegoidut tunnistetiedot -luettelon yhdyskäytävän palvelutilin Delegointi-ruudussa .

Ratkaisu

Voit ratkaista Ei tunnistetietoja -ongelman seuraamalla rajoitetun Kerberos-delegoinnin määrittäminen -kohdassa kuvattuja vaiheita. Kun tämä on suoritettu oikein, yhdyskäytävän palvelutilin delegointivälilehti kuvastaa HansaWorld-tietokannan (HDB) tiedostoa ja täydellistä toimialuenimeä (FQDN) niiden palveluiden luettelossa , joille tämä tili voi esittää delegoidut tunnistetiedot.

Vahvistus

Edellä annettujen vaiheiden avulla ongelman pitäisi ratkoa ongelma. Jos koet yhä Kerberos-ongelmia, sinulla voi olla virheellinen määritys Power BI -yhdyskäytävässä tai HANA-palvelimessa itse.

Tunnistetietovirheet

Jos saat tunnistetietovirheitä, lokien tai jäljitysten virheet paljastavat virheitä, jotka kuvaavat Credentials are invalid tai vastaavat virheet. Nämä virheet saattavat ilmetä eri tavoin yhteyden tietolähteessä, kuten SAP HANA -tietolähteessä. Seuraavassa kuvassa on esimerkkivirhe:

Näyttökuvassa näkyy virheellinen tunnistetietovirhe.

Oire 1

HANA-todentamisen jäljitystietojen kohdalla saatat nähdä seuraavanlaisen merkinnän:

[Authentication|manager.cpp:166] Kerberos: Using Service Principal 
Name johnny@contoso.com@CONTOSO.COM with name type: GSS_KRB5_NT_PRINCIPAL_NAME 
[Authentication|methodgssinitiator.cpp:367] Got principal name: 
johnny@contoso.com@CONTOSO.COM

Ratkaisu

Noudata ohjeita artikkelissa Käyttäjien yhdistämisen määritysparametrien määrittäminen yhdyskäytäväkoneessa, vaikka olisit jo määrittänyt Microsoft Entra Connect - palvelun.

Vahvistus

Kun olet suorittanut vahvistuksen, voit ladata raportin Power BI -palveluun.

Oire 2

HANA-todentamisen jäljitystietojen yhteydessä saatat nähdä merkintöjä, jotka ovat samankaltaisia kuin seuraavassa merkinnässä:

Authentication ManagerAcceptor.cpp(00233) : Extending list of expected
external names by johnny@CONTOSO.COM (method: GSS) Authentication 
AuthenticationInfo.cpp(00168) : ENTER getAuthenticationInfo 
(externalName=johnny@CONTOSO.COM) Authentication AuthenticationInfo.cpp(00237) : 
Found no user with expected external name!

Ratkaisu

Tarkista HANA-käyttäjän kohdasta Kerberoksen ulkoinen tunnus ja selvitä, vastaavatko tunnukset oikein.

Vahvistus

Kun olet ratkaissut ongelman, voit luoda tai päivittää raportteja Power BI -palvelussa.

Liittyvä sisältö

Lisätietoja paikallisesta tietoyhdyskäytävästä ja DirectQuerysta on seuraavissa resursseissa: