SAP ERP

SAP ERP è un software di pianificazione delle risorse aziendale sviluppato da SAP SE. SAP ERP incorpora le principali funzioni aziendali di un'organizzazione. Il connettore SAP ERP consente di richiamare funzioni RFC e BAPI usando un gateway dati locale.

Questo connettore è disponibile nei prodotti e nelle aree seguenti:

Servizio	Class	Regions
Copilot Studio	Di alta qualità	Tutte le aree di Power Automate
Power Apps	Di alta qualità	Tutte le aree di Power Apps
Power Automate	Di alta qualità	Tutte le aree di Power Automate

Contatto
Nome	Microsoft
URL	https://learn.microsoft.com/connectors/saperp/

Metadati del connettore
Editore	Microsoft
Sito web	https://www.sap.com/products/enterprise-management-erp.html
Informativa sulla privacy	https://www.sap.com/about/legal/privacy.html
Categorie	Produttività

Uso del connettore SAP ERP

Per iniziare a usare questo connettore, leggere i post di blog seguenti:

Pre-requisites

Il connettore SAP ERP ha una dipendenza dai componenti seguenti, che devono essere installati nello stesso computer:

Gateway dati locale (versione di ottobre 2023 - 3000.194 o successiva)
DLL di runtime di Microsoft C++ versione 14.x (Dipendenza NCo di SAP) (Visual Studio 2015, 2017, 2019 e 2022)
SAP .NET Connector da SAP
- Scegliere la versione NCo 3.1 a 64 bit (32 bit non è supportata)
- Non installare NCo 3.0 (non supportato)
- Richiede un utente S valido per l'accesso al download. Potrebbe essere necessario contattare il team SAP.

Autorizzazioni SAP

L'account utente SAP deve accedere al RFC_METADATA gruppo di funzioni e ai rispettivi moduli di funzione per le operazioni seguenti:

Operations	Accesso ai moduli di funzione
Azioni RFC	`RFC_GROUP_SEARCH`, `DD_LANGU_TO_ISOLA`
Azioni BAPI	`BAPI_TRANSACTION_COMMIT`, `BAPI_TRANSACTION_ROLLBACK`, `RPY_BOR_TREE_INIT`, , `SWO_QUERY_METHODS`, `SWO_QUERY_API_METHODS`
Azioni IDoc	`IDOCTYPES_LIST_WITH_MESSAGES`, `IDOCTYPES_FOR_MESTYPE_READ`, `INBOUND_IDOCS_FOR_TID`, `OUTBOUND_IDOCS_FOR_TID`, `GET_STATUS_FROM_IDOCNRIDOC_RECORD_READ`
Leggere l'azione tabella SAP	`RFC BBP_RFC_READ_TABLE` o `RFC_READ_TABLE`
Accesso minimo	`RFC_METADATA_GET`, `RFC_METADATA_GET_TIMESTAMP`

Authentication

Il connettore supporta l'autenticazione SAP, l'autenticazione di Windows, l'ID Microsoft Entra con Kerberos e l'ID Microsoft Entra con certificati.

Poiché il connettore è progettato per essere usato da più utenti di un'app, le connessioni non vengono condivise. Invece, ogni utente eseguirà l'autenticazione con il sistema SAP. Le credenziali utente vengono fornite nella connessione, mentre ulteriori dettagli necessari per connettersi al sistema SAP (ad esempio i dettagli del server, la configurazione di sicurezza) vengono forniti come parte dell'azione.

Autenticazione SAP

Autenticazione SAP di base con nome utente e password SAP.

Autenticazione di Windows

Richiede un'installazione aggiuntiva per la comunicazione di rete sicura (SNC). Richiede un'installazione aggiuntiva per l'accesso Single Sign-On basato su Kerberos da Power Platform a origini dati locali.

MICROSOFT Entra ID (con Kerberos)

MICROSOFT Entra ID (con certificati)

Richiede un'installazione aggiuntiva per la comunicazione di rete sicura (SNC). Richiede un'installazione aggiuntiva per l'accesso Single Sign-On basato su certificati da Power Platform a origini dati locali.

Configurare l'accesso Single Sign-On basato su Kerberos

Il nome SNC di SAP per un utente (p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM) deve corrispondere agli utenti che hanno il nome di dominio completo microsoft Entra ID (JANEDOE@REDMOND.CORP.CONTOSO.COM) sia per l'autenticazione di Windows che di Microsoft Entra ID.

Nome

Proprietà	Description
Usare SNC	Impostare su "Sì" se si vuole abilitare SNC
Libreria SNC	Nome o percorso della libreria SNC relativo al percorso di installazione NCo o al percorso assoluto. Gli esempi sono `sapcrypto.dll` o `.\security\sapcrypto.dll`o `c:\security\sapcrypto.dll`.
SNC SSO	Specifica se il connettore userà l'identità del servizio o le credenziali dell'utente finale
SNC My Name	Se necessario, specificare l'identità da usare
Nome partner SNC	Nome del server SNC back-end
Qualità snc di protezione	Qualità del servizio da utilizzare per la comunicazione SNC di questo particolare server o destinazione. Il valore predefinito è definito dal sistema back-end. Il valore massimo è definito dal prodotto di sicurezza usato per SNC.

Se è necessario l'ID Microsoft Entra o l'autenticazione di Windows per sap ERP Connector, è necessario:

Configurare l'accesso Single Sign-On basato su Kerberos da Power Platform a origini dati locali
Configurare SAP ERP per abilitare l'uso di CommonCryptoLib (sapcrypto.dll)

Configurare l'accesso Single Sign-On basato su Kerberos da Power Platform a origini dati locali Prerequisiti

Dopo l'installazione del gateway dati, il gateway viene eseguito come account del servizio locale del computer, NT Service\PBIEgwService. Per abilitare la delega vincolata Kerberos, sono disponibili due opzioni:

Il gateway deve essere eseguito come account di dominio, vedere la documentazione su come modificare l'account del servizio gateway ; o
Fare in modo che l'istanza di Microsoft Entra ID sia sincronizzata con l'istanza locale di Microsoft Entra ID (usando Microsoft Entra ID DirSync/Connect)

Passaggi di configurazione:

Ottenere i diritti di amministratore di dominio per configurare i nomi SPN (SetSPN) e le impostazioni di delega vincolata Kerberos
Configurare la delega vincolata Kerberos per il gateway e l'origine dati
Configurare un nome SPN per l'account del servizio gateway
Aggiungere un account del servizio gateway al gruppo di autorizzazione e accesso di Windows, se necessario
Decidere il tipo di delega vincolata Kerberos da usare:
- Configurare l'account del servizio gateway per la delega vincolata Kerberos standard
- Configurare l'account del servizio gateway per la delega vincolata Kerberos basata su risorse
Concedere al computer gateway i diritti dei criteri locali dell'account del servizio gateway
Impostare i parametri di configurazione del mapping utente nel computer gateway (se necessario)

Per altre informazioni su come configurare questa impostazione, vedere la documentazione di Power BI per Configurare l'accesso Single Sign-On basato su Kerberos dal servizio Power BI alle origini dati locali.

Configurare SAP ERP per abilitare l'uso di CommonCryptoLib (sapcrypto.dll)

Assicurarsi che il server SAP ERP sia configurato correttamente per l'accesso SSO Kerberos tramite CommonCryptoLib. In caso affermativo, è possibile usare l'accesso SSO per accedere al server SAP ERP con uno strumento SAP come SAP GUI configurato per l'uso di CommonCryptoLib. Per altre informazioni sui passaggi di installazione, vedere Single Sign-On di SAP: Eseguire l'autenticazione con Kerberos/SPNEGO. Il server deve usare CommonCryptoLib come libreria SNC e avere un nome SNC che inizia con CN. Per altre informazioni sui requisiti dei nomi SNC (in particolare, il snc/identity/as parametro ), vedere Parametri SNC per la configurazione Kerberos.
Assicurarsi che SAP Secure Login Client (SLC) non sia in esecuzione nel computer in cui è installato il gateway. SLC memorizza nella cache i ticket Kerberos in modo da interferire con la capacità del gateway di usare Kerberos per l'accesso SSO. Se SLC è installato, disinstallarlo o assicurarsi di uscire da SAP Secure Login Client. Fare clic con il pulsante destro del mouse sull'icona nell'area di notifica e scegliere Disconnettersi e uscire prima di tentare una connessione SSO usando il gateway. SLC non è supportato per l'uso nei computer Windows Server. Per altre informazioni, vedere SAP Note 2780475 (s-user required).

Sap Secure Login Client

Se si disinstalla SLC o si seleziona Disconnettersi e uscire, aprire una finestra cmd e immettere klist purge per cancellare eventuali ticket Kerberos memorizzati nella cache prima di tentare una connessione SSO tramite il gateway.
Scaricare CommonCryptoLib (sapcrypto.dll) a 64 bit versione 8.5.25 o successiva dal launchpad SAP e copiarlo in una cartella nel computer gateway. Nella stessa directory in cui è stato copiato sapcrypto.dllcreare un file denominato sapcrypto.ini, con il contenuto seguente:

ccl/snc/enable_kerberos_in_client_role = 1

Il .ini file contiene informazioni di configurazione richieste da CommonCryptoLib per abilitare l'accesso SSO nello scenario del gateway.

Annotazioni

Questi file devono essere archiviati nella stessa posizione; in altre parole, /path/to/sapcrypto/ deve contenere sia sapcrypto.ini che sapcrypto.dll.

Sia l'utente del servizio gateway che l'utente microsoft Entra ID che l'utente del servizio rappresenta devono disporre delle autorizzazioni di lettura ed esecuzione per entrambi i file. È consigliabile concedere le autorizzazioni sia per i .ini file che .dll per il gruppo Utenti autenticati. A scopo di test, è anche possibile concedere in modo esplicito queste autorizzazioni sia all'utente del servizio gateway che all'utente microsoft Entra ID usato per il test. Nello screenshot seguente sono stati concesse le autorizzazioni di lettura e esecuzione del gruppo Utenti autenticati per sapcrypto.dll:

Concedere autorizzazioni di lettura ed esecuzione per gli utenti autenticati

Se non si dispone già di un'origine dati SAP BW associata al gateway a cui si vuole eseguire il flusso della connessione SSO, aggiungerne una nella pagina Gestisci gateway nel servizio Power BI. Se è già disponibile un'origine dati di questo tipo, modificarla:

Scegliere SAP Business Warehouse come tipo di origine dati se si vuole creare una connessione SSO a un server applicazioni BW.
Selezionare Sap Business Warehouse Message Server se si vuole creare una connessione SSO a un server messaggi BW.

Creare una CCL_PROFILE variabile di ambiente di sistema e impostarne il valore sul percorso di sapcrypto.ini.

CCL_PROFILE variabile di ambiente di sistema:

Creare e impostare variabili di ambiente di sistema

I sapcrypto.dll file e .ini devono trovarsi nella stessa posizione. Nell'esempio sapcrypto.ini precedente e sapcrypto.dll si trovano entrambi sul desktop.

Riavviare il servizio gateway.

Riavviare i servizi del servizio gateway

Autenticazione di Microsoft Entra ID

Questo tipo di autenticazione funziona solo con le azioni seguenti:

Chiamare la funzione SAP (V2)
Creare una sessione con stato
Leggere la tabella SAP con l'analisi

L'account dell'entità servizio SAP Entra ID Microsoft deve avere AES 128 o AES 256 definito nell'attributo msDS-SupportedEncryptionType . Questo post di blog contiene una tabella per calcolare i valori decimali/esadecimali per i tipi di crittografia supportati.

Problemi noti e limitazioni

Di seguito sono riportati alcuni dei problemi noti e delle limitazioni del connettore SAP ERP:

Il connettore supporta solo rfc e BAPI.
Il connettore non supporta la ricezione di messaggi da SAP Server.
Le RFC transazionali (tRFC) non sono supportate.
Il gateway ha un limite di payload di 2 MB per le operazioni di scrittura e un limite di risposta ai dati compressi di 8 MB per le operazioni di lettura.
I cluster del gateway dati in modalità di bilanciamento del carico non sono supportati dalle azioni SAP con stato. Le comunicazioni con stato devono rimanere nello stesso nodo del cluster del gateway dati. Per le azioni SAP con stato, usare il gateway dati in modalità non cluster o in un cluster configurato solo per il failover.
Aggiornare il gateway dati locale alla versione più recente se si riceve un errore durante la creazione del flusso in modo simile al seguente: Length of the name of the RFC '<RFC_NAME>?honorSapOptionalFlag=1' is larger than the maximum allowed limit of 30
I parametri RFC/BAPI recuperati da SAP vengono memorizzati nella cache all'interno del gateway dati locale. Riavviare il servizio gateway dati locale per cancellare la cache e recuperare nuovi valori.

Raccolta di log

I log seguenti sono utili per risolvere i problemi del connettore SapErp quando si contatta il supporto tecnico Microsoft:

Abilitare Additional logging nelle Diagnostics impostazioni dell'app gateway dati locale per ottenere Informational i log estesi dell'adapter SAP e le tracce dell'adapter SapErp.
Aggiornare l'impostazione seguente nel file Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.configdi configurazione . In genere, questo file di configurazione si trova in cui è installato il gateway dati locale , ad esempio C:\Program Files\On-premises data gateway\Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.
```
<setting name="SapTraceLevel" serializeAs="String">
   <value>Verbose</value>
</setting>
```

Linee guida sulle proprietà del sistema SAP

Per le azioni che supportano il SAP system parametro, usare la tabella seguente per indicazioni.

Proprietà	Description
AppServerHost	Nome host del server applicazioni SAP.
AppServerService	Nome del servizio o numero di porta del server applicazioni SAP specifico a cui connettersi (facoltativo per il tipo di connessione (accesso) A - Server applicazioni.
Cliente	ID client SAP per connettersi al sistema SAP. Client back-end SAP (o "Mandant") in cui accedere. È un numero compreso tra 000 e 999.
Language	Codice linguistico con cui connettersi al sistema SAP. Codice ISO 639-1 di due lettere. Deve essere installato all'interno di SAP. In questo modo viene eseguito l'override dell'impostazione della lingua dei browser.
LogonGroup	Gruppo di accesso per il sistema SAP, da cui il server messaggi seleziona un server applicazioni (disponibile solo se il tipo di connessione (accesso) è B - Server messaggi (gruppo).
Tipo di accesso	Tipo di accesso al sistema SAP, accesso al server applicazioni (tipo A) o accesso al gruppo (tipo Bka Message Server). Valori consentiti: ApplicationServer, Group
MessageServerHost	Il nome host del server messaggi del sistema SAP (istanza centrale) noto come nome di sistema R3 (obbligatorio se il tipo di connessione (accesso) è B - Server messaggi (gruppo)).
MessageServerService	Il nome del servizio (come definito in etc/services) o il numero di porta in cui il server messaggi è in ascolto delle richieste di bilanciamento del carico (obbligatorio se il tipo di connessione (accesso) è B - Message Server (gruppo) e l'ID sistema non è presente.
Tipizzazione sicura	Per impostazione predefinita, quando si crea la connessione SAP, viene usata la digitazione avanzata per verificare la presenza di valori non validi eseguendo la convalida sullo schema. Questo comportamento consente di rilevare i problemi in precedenza. L'opzione Tipizzazione sicura è disponibile per la compatibilità con le versioni precedenti e controlla solo la lunghezza della stringa. Valori consentiti: true, false
SncCertificate	Certificato X.509 in formato con codifica Base64, senza i tag di certificato iniziale o finale.
SncMyName	La soluzione SNC installata conosce in genere il proprio nome SNC. Solo per le soluzioni che supportano "più identità", potrebbe essere necessario specificare l'identità da usare per questo server o destinazione (facoltativo). Questo parametro fa distinzione tra maiuscole e minuscole, quindi verificare con gli amministratori di base SAP il valore corretto.
SncLibraryPath	Nome o percorso della libreria SNC da utilizzare. Con il gateway dati locale, il percorso può essere assoluto o relativo alla libreria NCo.
SncPartnerName	Nome SNC dei back-end (obbligatorio quando il tipo di accesso è Server applicazioni). Questo parametro fa distinzione tra maiuscole e minuscole, quindi verificare con gli amministratori sap Basis il valore corretto.
SncQop	Qualità del servizio da utilizzare per la comunicazione SNC di questo server/destinazione. Valori consentiti: Autenticazione, Integrità, Privacy, Impostazione predefinita, Massimo
SncSso	L'accesso SSO SNC specifica se usare l'identità SNC o le credenziali fornite a livello RFC.
SsoCertificateSubject	Oggetto del certificato nel computer Windows OPDG per l'autenticazione basata su certificati con l'ID Microsoft Entra
SystemId	L'ID di sistema a tre lettere del sistema SAP (obbligatorio se il tipo di connessione (accesso) è B - Server messaggi (gruppo) e il servizio Message Server non è presente.
SystemNumber	Numero di sistema del sistema SAP. È un numero compreso tra 00 e 99 (obbligatorio se il tipo di connessione (accesso) è A - Server applicazioni.
UseSnc	Se selezionata, le connessioni verranno protette con SNC. Valori consentiti: Sì

Migrazione da `Call SAP Function` a `Call SAP Function (v2)`

Il Call SAP Function programma è stato deprecato a luglio 2023 e il supporto terminerà a luglio 2026. Gli utenti dovranno eseguire la migrazione delle azioni v1 esistenti prima di tale ora o i relativi flussi si interromperanno.

Sostituire più campi modulo con una singola stringa JSON per le proprietà di connessione.
Usare il mapping delle proprietà seguente:

Etichetta campo v1	v2, proprietà
AS Host	AppServerHost
Cliente	Cliente
Numero di sistema AS	SystemNumber
Nome della funzione SAP	N/D : non rilevante per la stringa di connessione
Sessione con stato	N/D : le sessioni con stato sono disponibili in "Opzioni avanzate" in cui è possibile specificare un ID per `Session Id`. I passaggi con lo stesso `Session Id` verranno eseguiti come parte della stessa sessione con stato.
Usare SNC	UseSnc
Libreria SNC	SncLibraryPath
SNC SSO	SncSso
SNC My Name	SncMyName
Nome partner SNC	SncPartnerName
Qualità snc di protezione	SncQop

Example

Chiamare la funzione SAP V1:

Chiamare la funzione SAP v1

Chiamare la funzione SAP V2:

Chiamare la funzione SAP v2

Dato lo screenshot, la stringa di connessione sarà simile alla seguente:

{
  "AppServerHost": "sap.example.com",
  "Client": 100,
  "SystemNumber": "00"
}

Poiché Use SNC è "No" nello screenshot, non è necessaria alcuna proprietà. Il valore predefinito è "false"

Uso delle variabili di ambiente

I flussi compilati nelle soluzioni possono gestire queste stringhe di connessione usando le variabili di ambiente. Si tratta del metodo consigliato, in quanto consente di modificare i parametri di connessione in base all'ambiente. Se il flusso non si trova in una soluzione, tenere a portata di mano la stringa per copiare/incollare.

Limiti generali

Nome	Value
Numero massimo di proprietà supportate dallo schema dinamico. L'azione Parse JSON può essere usata per generare lo schema da un payload di esempio se supera il numero massimo di proprietà.	1024

Creazione di una connessione

Il connettore supporta i tipi di autenticazione seguenti:


MICROSOFT Entra ID (con certificati)	Usare la propagazione dell'entità ID Microsoft Entra tramite certificati X509 per accedere a SAP.	Tutte le aree geografiche	Non condivisibile
MICROSOFT Entra ID (con Kerberos)	Usare la propagazione dell'entità ID Microsoft Entra tramite Kerberos per accedere a SAP.	Tutte le aree geografiche	Non condivisibile
Autenticazione SAP	Usare il nome utente e la password SAP per accedere al server SAP.	Tutte le aree geografiche	Non condivisibile
Autenticazione di Windows	Usare nome utente e password di Windows per accedere al server SAP.	Tutte le aree geografiche	Non condivisibile
Impostazione predefinita [DEPRECATO]	Questa opzione è solo per le connessioni meno recenti senza un tipo di autenticazione esplicito e viene fornita solo per la compatibilità con le versioni precedenti.	Tutte le aree geografiche	Non condivisibile