Megosztás a következőn keresztül:

A Kerberos használata egyszeri bejelentkezéshez (SSO) az SAP BW-hez gx64krb5 használatával

Ez a cikk azt ismerteti, hogyan konfigurálhatja az SAP Business Warehouse (BW) adatforrást az egyszeri bejelentkezés (SSO) engedélyezéséhez a Power BI szolgáltatás gx64krb5 használatával.

Fontos

A Microsoft lehetővé teszi, hogy biztonságos hálózati kommunikációs (SNC) kódtárak (például gx64krb5) használatával hozzon létre kapcsolatokat, de nem nyújt támogatást ezekhez a konfigurációkhoz. Emellett az SAP már nem támogatja a helyszíni adatátjárók gx64krb5-öt a Power BI-ban, és az átjáró konfigurálásához szükséges lépések jelentősen összetettebbek a CommonCryptoLib-hez képest. Ennek eredményeképpen a Microsoft inkább a CommonCryptoLib használatát javasolja. További információ: SAP Note 352295. Vegye figyelembe, hogy a gx64krb5 nem engedélyezi az SSO-kapcsolatokat az adatátjáró és az SAP BW üzenetkiszolgáló között; csak az SAP BW-alkalmazáskiszolgálókkal létesített kapcsolatok lehetségesek. Ez a korlátozás nem létezik, ha A CommonCryptoLib-t használja SNC-kódtárként. Az egyszeri bejelentkezés CommonCryptoLib használatával történő konfigurálásáról további információt az SAP BW konfigurálása az egyszeri bejelentkezéshez a CommonCryptoLib használatával című témakörben talál. SNC-kódtárként használja a CommonCryptoLib vagy a gx64krb5 függvénytárat, de mindkettőt nem. Ne végezze el mindkét kódtár konfigurációs lépéseit.

Feljegyzés

Mindkét kódtár (sapcrypto és gx64krb5) konfigurálása ugyanazon az átjárókiszolgálón nem támogatott forgatókönyv. Nem ajánlott mindkét kódtárat ugyanabban az átjárókiszolgálón konfigurálni, mivel az kódtárak kombinációjához vezet. Ha mindkét kódtárat használni szeretné, teljesen különítse el az átjárókiszolgálót. Konfigurálja például a gx64krb5-öt az A kiszolgálóhoz, majd a sapcrypto-t a B kiszolgálóhoz. Ne feledje, hogy a gx64krb5-öt használó A kiszolgálón fellépő hibák nem támogatottak, mivel a gx64krb5-öt az SAP és a Microsoft már nem támogatja.

Ez az útmutató átfogó; Ha már elvégezte a leírt lépések némelyikét, kihagyhatja őket. Előfordulhat például, hogy már konfigurálta az SAP BW-kiszolgálót az egyszeri bejelentkezéshez a gx64krb5 használatával.

A gx64krb5 beállítása az átjárógépen és az SAP BW-kiszolgálón

A gx64krb5 kódtárat az ügyfélnek és a kiszolgálónak is használnia kell az SSO-kapcsolat átjárón keresztüli befejezéséhez. Vagyis az ügyfélnek és a kiszolgálónak is ugyanazt az SNC-kódtárat kell használnia.

  1. Töltse le gx64krb5.dll az SAP Note 2115486 -ból (sap s-user required). Győződjön meg arról, hogy legalább 1.0.11.x verzióval rendelkezik. Töltse le gsskrb5.dll (a kódtár 32 bites verziója), ha tesztelni szeretné az SSO-kapcsolatot az SAP GUI-ban, mielőtt az átjárón keresztül próbálna SSO-kapcsolatot (ajánlott). Az SAP GUI-val való teszteléshez a 32 bites verzióra van szükség, mivel az SAP GUI csak 32 bites.

  2. Helyezze gx64krb5.dll az átjáró-szolgáltatás felhasználója által elérhető helyre az átjárógépen. Ha tesztelni szeretné az SSO-kapcsolatot az SAP GUI-val, helyezze a gsskrb5.dll egy példányát is a gépére, és állítsa be a SNC_LIB környezeti változót, hogy arra mutasson. Mind az átjárószolgáltatás felhasználójának, mind az Active Directory (AD)-felhasználóknak, amelyeket a szolgáltatásfelhasználó megszemélyesít, olvasási és végrehajtási engedélyekre van szükségük a gx64krb5.dll másolatához. Javasoljuk, hogy adjon engedélyeket a .dll a Hitelesített felhasználók csoportnak. Tesztelési célokra ezeket az engedélyeket kifejezetten megadhatja az átjárószolgáltatás felhasználójának és a teszteléshez használt AD-felhasználónak is.

  3. Ha a BW-kiszolgáló még nem lett konfigurálva az egyszeri bejelentkezéshez gx64krb5.dll használatával, helyezze el a .dll egy másik példányát az SAP BW-kiszolgáló által elérhető helyre az SAP BW-kiszolgálón.

    A gx64krb5.dll SAP BW-kiszolgálóval való használatra való konfigurálásával kapcsolatos további információkért tekintse meg az SAP dokumentációját (sap s-user required).

  4. Az ügyfél- és kiszolgálógépeken állítsa be a SNC_LIB és SNC_LIB_64 környezeti változókat:

    • Ha gsskrb5.dll használ, állítsa a SNC_LIB változót az abszolút elérési útjára.
    • Ha gx64krb5.dll használ, állítsa a SNC_LIB_64 változót az abszolút elérési útjára.

SAP BW-szolgáltatásfelhasználó konfigurálása és SNC-kommunikáció engedélyezése a BW-kiszolgálón

Akkor végezze el ezt a szakaszt, ha még nem konfigurálta az SAP BW-kiszolgálót az SNC-kommunikációhoz (például SSO) a gx64krb5 használatával.

Feljegyzés

Ez a szakasz feltételezi, hogy már létrehozott egy szolgáltatásfelhasználót a BW-hez, és egy megfelelő egyszerű szolgáltatásnevet kötött hozzá (azaz egy SAP/-val kezdődő nevet).

  1. Adjon hozzáférést a szolgáltatásfelhasználónak az SAP BW-alkalmazáskiszolgálóhoz:

    1. Az SAP BW-kiszolgálógépen adja hozzá a szolgáltatásfelhasználót a helyi rendszergazdai csoporthoz. Nyissa meg a Számítógép-kezelési programot, és azonosítsa a kiszolgáló helyi rendszergazdai csoportját.

      Számítógép-kezelő program

    2. Kattintson duplán a Helyi rendszergazda csoportra, majd válassza a Hozzáadás lehetőséget a szolgáltatásfelhasználó csoporthoz való hozzáadásához.

    3. A Nevek ellenőrzése gombra kattintva ellenőrizze, hogy helyesen adta-e meg a nevet, majd kattintson az OK gombra.

  2. Állítsa be az SAP BW-kiszolgáló szolgáltatásfelhasználóját az SAP BW kiszolgálószolgáltatást az SAP BW-kiszolgálógépen elindító felhasználóként:

    1. Nyissa meg a Futtatás elemet, majd írja be a Services.msc parancsot.

    2. Keresse meg az SAP BW Application Server-példánynak megfelelő szolgáltatást, kattintson rá a jobb gombbal, majd válassza a Tulajdonságok lehetőséget.

      Képernyőkép a Szolgáltatásokról, kiemelt tulajdonságokkal

    3. Váltson a Bejelentkezés lapra , és módosítsa a felhasználót az SAP BW szolgáltatás felhasználójára.

    4. Adja meg a felhasználó jelszavát, majd kattintson az OK gombra.

  3. Az SAP-bejelentkezés során jelentkezzen be a kiszolgálóra, és állítsa be a következő profilparamétereket az RZ10 tranzakció használatával:

    1. Állítsa az snc/identity/as profil paramétert a létrehozott> p:<SAP BW szolgáltatásfelhasználóra. Például: p:BWServiceUser@MYDOMAIN.COM. Vegye figyelembe, hogy a p: a szolgáltatásfelhasználó egyszerű nevét (UPN) előzi meg, szemben a p:CN=-tal, amely a CommonCryptoLib SNC-kódtárként való használatakor előzi meg az UPN-t.

    2. Állítsa az snc/gssapi_lib profilparamétert <a BW-kiszolgálón> gx64krb5.dll elérési útra. Helyezze a kódtárat az SAP BW alkalmazáskiszolgáló által elérhető helyre.

    3. Adja meg a következő további profilparamétereket, és módosítsa az értékeket az igényeinek megfelelően. Az utolsó öt lehetőség lehetővé teszi, hogy az ügyfelek az SNC konfigurálása nélkül csatlakozzanak az SAP BW-kiszolgálóhoz az SAP Logon használatával.

      Beállítás Érték
      snc/data_protection/max 3
      snc/data_protection/perc 0
      snc/data_protection/use 9
      snc/accept_insecure_cpic 0
      snc/accept_insecure_gui 0
      snc/accept_insecure_r3int_rfc 0
      snc/accept_insecure_rfc 0
      snc/permit_insecure_start 0

    4. Állítsa az snc/enable tulajdonságot 1 értékre.

  4. Miután beállította ezeket a profilparamétereket, nyissa meg az SAP Felügyeleti konzolt a kiszolgálógépen, és indítsa újra az SAP BW-példányt.

    Ha a kiszolgáló nem indul el, ellenőrizze, hogy helyesen állította-e be a profilparamétereket. A profilparaméter-beállításokkal kapcsolatos további információkért tekintse meg az SAP dokumentációját. A cikkben található hibaelhárítási szakaszt is megtekintheti.

SAP BW-felhasználó hozzárendelése Active Directory-felhasználóhoz

Ha még nem tette meg, rendeljen le egy AD-felhasználót egy SAP BW-alkalmazáskiszolgáló-felhasználóhoz, és tesztelje az SSO-kapcsolatot az SAP Logonban.

  1. Jelentkezzen be az SAP BW-kiszolgálóra az SAP-bejelentkezéssel. Futtassa a SU01 tranzakciót.

  2. Felhasználóként adja meg azt az SAP BW-felhasználót, amelyhez engedélyezni szeretné az SSO-kapcsolatot. Válassza a Szerkesztés ikont (toll ikon) az SAP Bejelentkezési ablak bal felső részén.

    AZ SAP BW felhasználói karbantartási képernyője

  3. Válassza az SNC lapot. Az SNC névbeviteli mezőjébe írja be a p:<your Active Directory user>@<your domain> nevet. Az SNC-név esetében p: az AD-felhasználó UPN-jét kell megelőznie. Vegye figyelembe, hogy az UPN megkülönbözteti a kis- és nagybetűk megkülönböztetettségét.

    A megadott AD-felhasználónak ahhoz a személyhez vagy szervezethez kell tartoznia, akinek engedélyezni szeretné az SSO-hozzáférést az SAP BW alkalmazáskiszolgálóhoz. Ha például engedélyezni szeretné a felhasználó testuser@TESTDOMAIN.COMegyszeri bejelentkezéshez való hozzáférését, írja be a p:testuser@TESTDOMAIN.COMértéket.

    SAP BW Felhasználók karbantartása képernyő

  4. Válassza a Mentés ikont (hajlékonylemez képe) a képernyő bal felső részén.

Bejelentkezés tesztelése egyszeri bejelentkezéssel

Ellenőrizze, hogy bejelentkezhet-e a kiszolgálóra úgy, hogy az SAP-bejelentkezést egyszeri bejelentkezéssel használja az AD-felhasználóként, akinek engedélyezte az egyszeri bejelentkezéshez való hozzáférést:

  1. Az AD-felhasználóként, amelyhez most engedélyezte az egyszeri bejelentkezést, jelentkezzen be egy olyan gépre a tartományában, amelyen telepítve van az SAP-bejelentkezés. Indítsa el az SAP-bejelentkezést, és hozzon létre egy új kapcsolatot.

  2. Másolja a korábban letöltött gsskrb5.dll fájlt a bejelentkezett gép egyik helyére. Állítsa a SNC_LIB környezeti változót ennek a helynek az abszolút elérési útjára.

  3. Indítsa el az SAP-bejelentkezést, és hozzon létre egy új kapcsolatot.

  4. Az Új rendszerbevitel létrehozása képernyőn válassza a Felhasználó által megadott rendszer lehetőséget, majd válassza a Tovább gombot.

    Új rendszerbevitel létrehozása képernyő

  5. A következő képernyőn adja meg a megfelelő adatokat, beleértve az alkalmazáskiszolgálót, a példányszámot és a rendszerazonosítót. Ezután válassza a Befejezés lehetőséget.

  6. Kattintson a jobb gombbal az új kapcsolatra, válassza a Tulajdonságok lehetőséget, majd válassza a Hálózat lapot.

  7. Az SNC Név mezőjébe írja be a p:<SAP BW szolgáltatás felhasználójának UPN-jét>. Például: p:BWServiceUser@MYDOMAIN.COM. Kattintson az OK gombra.

    Rendszerbevitel tulajdonságai képernyő

  8. Kattintson duplán az imént létrehozott kapcsolatra az SAP BW-kiszolgálóhoz való egyszeri bejelentkezéshez.

    Ha ez a kapcsolat sikeres, folytassa a következő szakaszsal. Ellenkező esetben tekintse át a dokumentum korábbi lépéseit, hogy meggyőződjön arról, hogy helyesen lettek végrehajtva, vagy tekintse át a hibaelhárítási szakaszt . Ha ebben a környezetben nem tud SSO-n keresztül csatlakozni az SAP BW-kiszolgálóhoz, akkor az átjárókörnyezetben az egyszeri bejelentkezéssel nem tud csatlakozni az SAP BW-kiszolgálóhoz.

Beállításjegyzék-bejegyzések hozzáadása az átjárógéphez

Adja hozzá a szükséges beállításjegyzék-bejegyzéseket annak a gépnek a beállításjegyzékéhez, amelyre az átjáró telepítve van, valamint a Power BI Desktopból csatlakozni kívánt gépekhez. A beállításjegyzék bejegyzéseinek hozzáadásához futtassa a következő parancsokat:

  • REG ADD HKLM\SOFTWARE\Wow6432Node\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

  • REG ADD HKLM\SOFTWARE\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

Új SAP BW Application Server-adatforrás hozzáadása a Power BI szolgáltatás, vagy meglévő szerkesztése

  1. Az adatforrás konfigurációs ablakában adja meg az SAP BW-alkalmazáskiszolgáló állomásnevét, rendszerszámát és ügyfél-azonosítóját, ahogyan a Power BI Desktopból szeretne bejelentkezni az SAP BW-kiszolgálóra.

  2. Az SNC partnernév mezőjébe írja be az SAP BW szolgáltatás felhasználójához> hozzárendelt p:<SPN értéket. Ha például az egyszerű szolgáltatásnév SAP/BWServiceUser@MYDOMAIN.COM, írja be a p:SAP/BWServiceUser@MYDOMAIN.COM értéket az SNC Partner neve mezőbe.

  3. Az SNC-kódtár esetében válassza az Egyéni lehetőséget, és adja meg az átjárógépen található GX64KRB5.DLL vagy GSSKRB5.DLL abszolút elérési útját.

  4. Válassza az Egyszeri bejelentkezés használata a Kerberoson keresztül DirectQuery-lekérdezésekhez lehetőséget, majd válassza az Alkalmaz lehetőséget. Ha a tesztkapcsolat nem sikerült, ellenőrizze, hogy az előző beállítási és konfigurációs lépések megfelelően lettek-e végrehajtva.

  5. Power BI-jelentés futtatása.

Hibaelhárítás

Gx64krb5-konfiguráció hibaelhárítása

Ha az alábbi problémák bármelyikét tapasztalja, kövesse az alábbi lépéseket a gx64krb5 telepítési és SSO-kapcsolatok hibaelhárításához:

  • A gx64krb5 beállítási lépéseinek végrehajtásakor hibák lépnek fel. Az SAP BW-kiszolgáló például nem indul el a profilparaméterek módosítása után. A kiszolgálónaplók megtekintése (... a work\dev_w0 a kiszolgálógépen) a hibák elhárításához.

  • Bejelentkezési hiba miatt nem indíthatja el az SAP BW szolgáltatást. Előfordulhat, hogy helytelen jelszót adott meg az SAP BW kezdő felhasználóként való beállításakor. Ellenőrizze a jelszót az SAP BW szolgáltatás felhasználójaként az AD-környezetben lévő gépen való bejelentkezéssel.

  • A mögöttes adatforrás hitelesítő adataival (például AZ SQL Serverrel) kapcsolatos hibák jelentkeznek, amelyek megakadályozzák a kiszolgáló indítását. Ellenőrizze, hogy hozzáférést adott-e a szolgáltatásfelhasználónak az SAP BW-adatbázishoz.

  • A következő üzenetet kapja: (GSS-API) megadott cél ismeretlen vagy nem érhető el. Ez a hiba általában azt jelenti, hogy helytelen SNC-név van megadva. Ügyeljen arra, hogy a p: csak a p:CN=-t használja a szolgáltatásfelhasználó UPN-jének az ügyfélalkalmazásban való előzéséhez.

  • A következő üzenetet kapja: (GSS-API) Érvénytelen név lett megadva. Győződjön meg arról, hogy p: a kiszolgáló SNC-identitásprofil-paraméterének értéke.

  • A következő üzenet jelenik meg: (SNC-hiba) a megadott modul nem található. Ezt a hibát gyakran az okozza, hogy emelt szintű jogosultságokat (.) igénylő helyen helyezi el a gx64krb5.dll. /rendszergazdai jogosultságok) a hozzáféréshez.

Átjárókapcsolati problémák elhárítása

  1. Ellenőrizze az átjárónaplókat. Nyissa meg az átjárókonfigurációs alkalmazást, és válassza a Diagnosztika, majd a Naplók exportálása lehetőséget. A legutóbbi hibák a vizsgált naplófájlok végén találhatók.

    Helyszíni adatátjáró-alkalmazás, kiemelt diagnosztika

  2. Kapcsolja be az SAP BW nyomkövetését, és tekintse át a létrehozott naplófájlokat. Az SAP BW-nyomkövetésnek számos különböző típusa érhető el (például CPIC-nyomkövetés):

    a. A CPIC-nyomkövetés engedélyezéséhez állítson be két környezeti változót: CPIC_TRACE és CPIC_TRACE_DIR.

    Az első változó beállítja a nyomkövetési szintet, a második pedig a nyomkövetési fájl könyvtárát. A címtárnak olyan helynek kell lennie, ahová a Hitelesített felhasználók csoport tagjai írhatnak.

    b. Állítsa a CPIC_TRACE 3-ra, és CPIC_TRACE_DIR arra a könyvtárra, amelyikbe a nyomkövetési fájlokat meg szeretné írni. Példa:

    CPIC-nyomkövetés

    c. Reprodukálja a problémát, és győződjön meg arról, hogy CPIC_TRACE_DIR tartalmaz nyomkövetési fájlokat.

    d. Vizsgálja meg a nyomkövetési fájlok tartalmát a blokkolási probléma meghatározásához. Előfordulhat például, hogy gx64krb5.dll nincs megfelelően betöltve, vagy hogy a várttól eltérő AD-felhasználó kezdeményezte az egyszeri bejelentkezés csatlakozási kísérletét.

Kapcsolódó tartalom

A helyszíni adatátjáróról és a DirectQueryről a következő forrásokban talál további információt: