Megosztás a következőn keresztül:


Sap Principal Propagálás engedélyezése élő OData-hírcsatornákhoz a Power Queryvel

Az SAP-adatkészletek Használata a Microsoft Excelben vagy a Power BI-ban gyakori követelmény az ügyfelek számára.

Ez a cikk azokat a konfigurációkat és összetevőket ismerteti, amelyek szükségesek az SAP-adathalmazok OData-on keresztüli használatához a Power Queryvel. Az SAP-adatintegráció azért tekinthető "élőnek " , mert frissíthető olyan ügyfelekről, mint például a Microsoft Excel vagy a Power BI igény szerint, ellentétben például az adatexportálásokkal (például az SAP List Viewer (ALV) CSV-exportálásokkal). Ezek az exportálások természetükből adódóan statikusak, és nincs folyamatos kapcsolatuk az adat eredetével.

A cikk a végfelhasználók közötti leképezésre helyezi a hangsúlyt a Power Query ismert Microsoft Entra-identitása és az SAP háttérfelhasználója között. Ezt a mechanizmust gyakran sap principal propagálásnak is nevezik.

A leírt konfiguráció középpontjában az Azure API Management, az SAP Gateway, az AS ABAP és OData forrásokkal rendelkező SAP OAuth 2.0-kiszolgáló áll, de a használt fogalmak minden webalapú erőforrásra érvényesek.

Fontos

Megjegyzés: Az SAP egyszerű propagálása biztosítja a felhasználók hozzárendelését a licenccel rendelkező SAP-felhasználóhoz. Az SAP-licencekkel kapcsolatos kérdésekért forduljon az SAP-képviselőhöz.

Az SAP-integrációval rendelkező Microsoft-termékek áttekintése

Az SAP-termékek és a Microsoft 365-portfólió integrációja az egyéni kódoktól és a partner bővítményektől a teljesen testre szabott Office-termékekig terjed. Íme néhány példa:

A cikkben ismertetett mechanizmus a Power Query szabványos beépített OData-képességeit használja, és az Azure-ban üzembe helyezett SAP-környezetekre helyezi a hangsúlyt. A helyszíni környezetek kezelése az Azure API Management saját üzemeltetésű átjárójával.

További információ arról, hogy mely Microsoft-termékek támogatják általában a Power Queryt, tekintse meg a Power Query dokumentációját.

Beállítási szempontok

A végfelhasználók választhatnak a helyi asztali vagy webes ügyfelek (például az Excel vagy a Power BI) között. Az ügyfél-végrehajtási környezetet figyelembe kell venni az ügyfélalkalmazás és a cél SAP-számítási feladat közötti hálózati útvonalhoz. A vpn-hez hasonló hálózati hozzáférési megoldások nem tartoznak az olyan alkalmazások hatókörébe, mint a Webes Excel.

Az Azure API Management a helyi és webes környezet igényeit tükrözi, különböző üzembe helyezési módokkal, amelyek az Azure-környezetekre (belső vagy külső) alkalmazhatók. Internal olyan példányokra hivatkozik, amelyek teljes mértékben magánhálózatra korlátozódnak, míg external az Azure API Managementhez való nyilvános hozzáférést megtartja. A helyszíni telepítések hibrid üzembe helyezést igényelnek a saját üzemeltetésű Azure API Management-átjáróhoz hasonlóan.

A Power Queryhez egyező API-szolgáltatás URL-címe és a Microsoft Entra-alkalmazásazonosító URL-címe szükséges. Konfiguráljon egy egyéni tartományt az Azure API Managementhez , hogy megfeleljen a követelménynek.

Az SAP Gatewayt úgy kell konfigurálni, hogy elérhetővé tegye a kívánt cél OData-szolgáltatásokat. Az elérhető szolgáltatások felderítése és aktiválása SAP-tranzakciókódon /IWFND/MAINT_SERVICEkeresztül. További információkért lásd az SAP OData-konfigurációját.

Egyéni Azure API Management-tartománykonfiguráció

Az alábbi képernyőképen egy példakonfiguráció látható az API Managementben egy felügyelt tanúsítvánnyal és Azure-alkalmazás szolgáltatástartományral hívott api.custom-apim.domain.com egyéni tartomány használatával. További tartományi tanúsítványbeállításokért tekintse meg az Azure API Management dokumentációját.

Képernyőkép az Azure API Management egyéni tartománykonfigurációjáról.

Végezze el az egyéni tartomány beállítását a tartománykövetelményeknek megfelelően. További információkért tekintse meg az egyéni tartomány dokumentációját. A tartománynév tulajdonjogának igazolásához és a tanúsítványhoz való hozzáférés biztosításához adja hozzá ezeket a DNS-rekordokat a Azure-alkalmazás szolgáltatástartományhoz custom-apim.domain.com az alábbiak szerint:

Képernyőkép az Azure API Management tartományra való egyéni tartományleképezésről.

Az Azure API Management-bérlő megfelelő Microsoft Entra-alkalmazásregisztrációja az alábbihoz hasonlóan fog kinézni.

Képernyőkép az Azure API Management alkalmazásregisztrációról a Microsoft Entra ID-ban.

Feljegyzés

Ha az Azure API Management egyéni tartománya nem választható, ehelyett egyéni Power Query-összekötőt kell használnia.

Azure API Management policy design for Power Query

Használja ezt az Azure API Management-szabályzatot a cél OData API-hoz a Power Query hitelesítési folyamatának támogatásához. Lásd alább a szabályzat egy kódrészletét, amely a hitelesítési mechanizmust emeli ki. Itt találja a Power Query használt ügyfél-azonosítóját.

<!-- if empty Bearer token supplied assume Power Query sign-in request as described [here:](/power-query/connectorauthentication#supported-workflow) -->
<when condition="@(context.Request.Headers.GetValueOrDefault("Authorization","").Trim().Equals("Bearer"))">
    <return-response>
        <set-status code="401" reason="Unauthorized" />
        <set-header name="WWW-Authenticate" exists-action="override">
            <!-- Check the client ID for Power Query [here:](/power-query/connectorauthentication#supported-workflow) -->
            <value>Bearer authorization_uri=https://login.microsoftonline.com/{{AADTenantId}}/oauth2/authorize?response_type=code%26client_id=a672d62c-fc7b-4e81-a576-e60dc46e951d</value>
        </set-header>
    </return-response>
</when>

A szervezeti fiók bejelentkezési folyamatának támogatása mellett a szabályzat támogatja az OData URL-válaszok újraírását, mivel a célkiszolgáló eredeti URL-címekkel válaszol. Lásd alább az említett szabályzat egy kódrészletét:

<!-- URL rewrite in body only required for GET operations -->
<when condition="@(context.Request.Method == "GET")">
    <!-- ensure downstream API metadata matches Azure API Management caller domain in Power Query -->
    <find-and-replace from="@(context.Api.ServiceUrl.Host +":"+ context.Api.ServiceUrl.Port + context.Api.ServiceUrl.Path)" to="@(context.Request.OriginalUrl.Host + ":" + context.Request.OriginalUrl.Port + context.Api.Path)" />
</when>

Feljegyzés

Az internetről és az SAP szegélyhálózatának kialakításából származó biztonságos SAP-hozzáféréssel kapcsolatos további információkért tekintse meg ezt az útmutatót. Az SAP API-k Azure-ral való biztonságossá tételével kapcsolatban tekintse meg ezt a cikket.

SAP OData-hitelesítés a Power Queryn keresztül az Excel Desktopban

A megadott konfigurációval a Power Query beépített hitelesítési mechanizmusa elérhetővé válik a közzétett OData API-k számára. Adjon hozzá egy új OData-forrást az Excel-munkalaphoz az Adat menüszalagon keresztül (Adatok lekérése –> Más forrásokból –> OData-hírcsatornából). A célszolgáltatás URL-címének karbantartása. Az alábbi példa az SAP Gateway demószolgáltatást GWSAMPLE_BASIC használja. Felderítheti vagy aktiválhatja az SAP-tranzakcióval /IWFND/MAINT_SERVICE. Végül adja hozzá az Azure API Managementhez a hivatalos OData-importálási útmutató használatával.

Képernyőkép arról, hogyan derítheti fel az OData URL-címét az Azure API Managementben.

Kérje le az alap URL-címet, és szúrja be a célalkalmazásba. Az alábbi példa az Excel Desktop integrációs felületét mutatja be.

Képernyőkép az OData konfigurációs varázslójáról az Excel Desktopban.

Váltson a bejelentkezési módszerre szervezeti fiókra, és kattintson a Bejelentkezés gombra. Adja meg azt a Microsoft Entra-fiókot, amely az SAP Gateway nevesített SAP-felhasználója számára van leképezve az SAP-átjárón az SAP Principal Propagálás használatával. A konfigurációval kapcsolatos további információkért tekintse meg ezt a Microsoft-oktatóanyagot. További információ az SAP egyszerű propagálásáról ebben az SAP-közösségi bejegyzésben és ebben a videósorozatban.

Továbbra is megadhatja, hogy a Power Query milyen szinten alkalmazza a hitelesítési beállításokat az Excelben. Az alábbi példa egy olyan beállítást mutat be, amely a cél SAP-rendszeren üzemeltetett összes OData-szolgáltatásra vonatkozik (nem csak a mintaszolgáltatásra GWSAMPLE_BASIC).

Feljegyzés

Az alábbi képernyő URL-szintjén megadott engedélyezési hatókör független az SAP háttérrendszerén található tényleges engedélyekétől. Az SAP Gateway marad a leképezett sap-felhasználó összes kérésének és társított hitelesítésének végső érvényesítője.

Képernyőkép az Excel szervezeti fiók beállításához tartozó bejelentkezési folyamatról.

Fontos

A fenti útmutató az érvényes hitelesítési jogkivonat Microsoft Entra-azonosítóból a Power Queryn keresztüli beszerzésének folyamatára összpontosít. Ezt a jogkivonatot tovább kell feldolgozni az SAP-egyszerű propagáláshoz.

SAP-egyszerű propagálás konfigurálása az Azure API Managementtel

Használja ezt a második Azure API Management-szabályzatot az SAP-hoz az SAP egyszerű propagálásának konfigurálásához a középső rétegen. Az SAP Gateway háttérrendszerének konfigurálásáról további információt ebben a Microsoft-oktatóanyagban talál.

Feljegyzés

További információ az SAP egyszerű propagálásáról ebben az SAP-közösségi bejegyzésben és ebben a videósorozatban.

A cikkben szereplő Microsoft Entra-alkalmazásregisztrációkat bemutató ábra.

A szabályzat a Microsoft Entra ID és az SAP Gateway közötti SSO-beállításra támaszkodik (használja a Microsoft Entra katalógusából származó SAP NetWeavert). Lásd alább egy példát Adele Vance demo-felhasználóval. A Microsoft Entra ID és az SAP rendszer közötti felhasználóleképezés az egyszerű felhasználónév (UPN) alapján történik egyedi felhasználói azonosítóként.

Képernyőkép a bemutató felhasználó UPN-éről a Microsoft Entra-azonosítóban.

Képernyőkép az SAP Gateway SAML2 konfigurációjáról UPN-jogcímmel.

Az UPN-megfeleltetés az SAP háttérrendszerén az SAML2 tranzakcióval van fenntartva.

Képernyőkép az SAP SAML2-tranzakció e-mail-leképezési módjáról.

Ennek a konfigurációnak megfelelően az SAP-felhasználók le lesznek képezve az adott Microsoft Entra-felhasználóhoz. Lásd alább az SAP háttérrendszerének su01 tranzakciós kóddal történő példakonfigurációját.

Képernyőkép az SAP-felhasználóról a su01 tranzakcióban a megfeleltetett e-mail-címmel.

A szükséges, AS ABAP-konfigurációval rendelkező SAP OAuth 2.0-kiszolgálóval kapcsolatos további információkért tekintse meg ezt a Microsoft-oktatóanyagot az SSO-ról az SAP NetWeaver használatával az OAuth használatával.

A leírt Azure API Management-szabályzatok használatával bármely Power Query-kompatibilis Microsoft-termék meghívhatja az SAP által üzemeltetett OData-szolgáltatásokat, miközben tiszteletben tartja az SAP által elnevezett felhasználóleképezést.

Képernyőkép az OData-válaszról az Excel Desktopban.

SAP OData-hozzáférés más Power Query-kompatibilis alkalmazásokon és szolgáltatásokon keresztül

A fenti példa az Excel Desktop folyamatát mutatja be, de a megközelítés minden Power Query OData-kompatibilis Microsoft-termékre alkalmazható. A Power Query OData-összekötőjével és az azt támogató termékekkel kapcsolatos további információkért tekintse meg a Power Query-összekötők dokumentációját. További információ arról, hogy mely termékek támogatják általában a Power Queryt, tekintse meg a Power Query dokumentációját.

Népszerű felhasználók a Power BI, a Webes Excel, a Power Apps (Adatfolyamok) és az Analysis Service.

SAP-visszaírási forgatókönyvek kezelése a Power Automate-lel

A leírt megközelítés a visszaírási forgatókönyvekre is alkalmazható. A Power Automate használatával például frissíthet egy üzleti partnert az SAP-ban az OData használatával a http-kompatibilis összekötőkkel (vagy használhatja az RFC-ket vagy BAPI-kat). Az alábbiakban egy Power BI szolgáltatás irányítópultot láthat, amely értékalapú riasztások és egy gomb segítségével csatlakozik a Power Automate-hez (a képernyőképen kiemelve). További információ a Folyamatok Power BI-jelentésekből való aktiválásáról a Power Automate dokumentációjában.

Képernyőkép a folyamatbarát Power BI szolgáltatás irányítópultról.

A kiemelt gomb elindít egy folyamatot, amely továbbítja az OData PATCH-kérelmet az SAP Gatewaynek az üzleti partneri szerepkör módosításához.

Feljegyzés

Az SAP-hoz készült Azure API Management-szabályzattal kezelheti a hitelesítést, a frissítési jogkivonatokat, a CSRF-jogkivonatokat és a jogkivonatok teljes gyorsítótárazását a folyamaton kívül.

Képernyőkép az SAP háttérrendszerében az üzleti partner módosítását kérő Power Automate folyamatáról.

Következő lépések

Megtudhatja, hol használhatja az OData-t a Power Queryvel

SAP OData API-k használata az Azure API Managementben

Az Azure API Management konfigurálása SAP API-khoz

Oktatóanyag: Értékesítési adatok elemzése az Excelből és egy OData-hírcsatornából

API-k védelme az Application Gateway és az API Management használatával

Az API Management integrálása belső virtuális hálózatba az Application Gateway használatával

Az SAP-hoz készült Azure-alkalmazás átjáró- és webalkalmazási tűzfal ismertetése

API-üzemelő példányok automatizálása az APIOps használatával