Condividi tramite

Usare Kerberos per il Single Sign-On (SSO) a SAP BW tramite gx64krb5

Questo articolo descrive come configurare l'origine dati di SAP Business Warehouse (BW) per abilitare l'accesso Single Sign-On (SSO) dal servizio Power BI usando gx64krb5.

Importante

Microsoft consentirà di creare connessioni usando librerie SNC (Secure Network Communications), ad esempio gx64krb5, ma non fornirà supporto per queste configurazioni. Inoltre, SAP non supporta più gx64krb5 per i gateway dati locali in Power BI e i passaggi necessari per configurarlo per il gateway sono notevolmente più complessi rispetto a CommonCryptoLib. Di conseguenza, Microsoft consiglia di usare CommonCryptoLib. Per altre informazioni, vedere Nota SAP 352295. Si noti che gx64krb5 non consente connessioni SSO tra il gateway dati e i server messaggi SAP BW. Sono possibili solo connessioni ai server applicazioni SAP BW. Questa restrizione non esiste se si usa CommonCryptoLib come libreria SNC. Per informazioni sulla configurazione di SSO tramite CommonCryptoLib, vedere Configurare SAP BW per abilitare SSO usando CommonCryptoLib. Come libreria SNC usare CommonCryptoLib oppure gx64krb5, ma non entrambe. Non completare i passaggi di configurazione per entrambe le librerie.

Nota

La configurazione di entrambe le librerie (sapcrypto e gx64krb5) nello stesso server gateway è uno scenario non supportato. Non è consigliabile configurare entrambe le librerie nello stesso server gateway perché ciò porterebbe a un miscuglio di librerie. Se si vogliono usare entrambe le librerie, separare completamente il server gateway. Ad esempio, configurare gx64krb5 per il server A e quindi sapcrypto per il server B. Tenere presente che qualsiasi errore nel server A che usa gx64krb5 non è uno scenario supportato, perché gx64krb5 non è più supportato da SAP e Microsoft.

Questa guida è completa. Se alcuni dei passaggi descritti sono già stati eseguiti, è possibile ignorarli. È ad esempio possibile che sia già stato configurato il server SAP BW per SSO usando gx64krb5.

Configurare gx64krb5 nel computer gateway e nel server SAP BW

Per completare una connessione SSO tramite il gateway, la libreria gx64krb5 deve essere in uso sia nel client che nel server, ovvero sia il client che il server devono usare la stessa libreria SNC.

  1. Scaricare gx64krb5.dll dalla nota SAP 2115486 (è necessario il nome utente SAP). Assicurarsi di aver installato la versione 1.0.11. x o successive. Scaricare anche gsskrb5.dll (la versione a 32 bit della libreria) se si vuole testare la connessione SSO nell'interfaccia utente grafica SAP prima di tentare la connessione SSO tramite il gateway (scelta consigliata). La versione a 32 bit è necessaria per il test con l'interfaccia utente grafica SAP poiché quest'ultima è solo a 32 bit.

  2. Inserire gx64krb5.dll in una posizione sul computer del gateway accessibile all'utente del servizio gateway. Per testare la connessione SSO con l'interfaccia utente grafica SAP, inserire anche una copia di gsskrb5.dll nel computer e impostare la variabile di ambiente SNC_LIB in modo che vi faccia riferimento. Sia l'utente del servizio gateway che gli utenti Active Directory (AD) che l'utente del servizio rappresenterà necessitano delle autorizzazioni di lettura ed esecuzione per la copia di gx64krb5.dll. È consigliabile concedere al gruppo Authenticated Users le autorizzazioni per il file con estensione dll. A scopo di test, è anche possibile concedere in modo esplicito queste autorizzazioni sia all'utente del servizio gateway che all'utente di AD usato per testare.

  3. Se il server BW non è ancora stato configurato per SSO usando gx64krb5.dll, inserire un'altra copia del file con estensione dll nel computer server SAP BW in un percorso accessibile al server SAP BW.

    Per altre informazioni sulla configurazione di gx64krb5.dll per l'uso con un server SAP BW, vedere la documentazione di SAP (è necessario il nome utente SAP).

  4. Nei computer client e server impostare le variabili di ambiente SNC_LIB e SNC_LIB_64:

    • Se si usa gsskrb5.dll, impostare la variabile SNC_LIB sul relativo percorso assoluto.
    • Se si usa gx64krb5.dll, impostare la variabile SNC_LIB_64 sul relativo percorso assoluto.

Configurare un utente del servizio SAP BW e abilitare la comunicazione SNC nel server BW

Completare questa sezione se il server SAP BW non è ancora stato configurato per la comunicazione SNC, ad esempio l'accesso SSO, usando gx64krb5.

Nota

Questa sezione presuppone che sia già stato creato un utente del servizio per BW e che a questo sia stato associato un nome dell'entità servizio appropriato (ovvero, un nome che inizia con SAP/).

  1. Assegnare all'utente del servizio l'accesso al server applicazioni SAP BW:

    1. Nel computer server SAP BW aggiungere l'utente del servizio al gruppo degli amministratori locali. Aprire il programma Gestione computer e identificare il gruppo degli amministratori locali per il server.

      Programma Gestione computer

    2. Fare doppio clic sul gruppo Amministrazione locale, quindi selezionare Aggiungi per aggiungere l'utente del servizio al gruppo.

    3. Selezionare Controlla nomi per assicurarsi di aver immesso il nome correttamente e quindi fare clic su OK.

  2. Impostare l'utente del servizio del server SAP BW come l'utente che avvia il servizio del server SAP BW nel computer server SAP BW:

    1. Aprire Esegui e quindi immettere Services.msc.

    2. Cercare il servizio corrispondente all'istanza del server applicazioni SAP BW, fare clic su di esso con il pulsante destro del mouse e quindi selezionare Proprietà.

      Screenshot di Servizi con il comando Proprietà evidenziato

    3. Passare alla scheda Accedi e modificare l'utente con l'utente del servizio SAP BW.

    4. Immettere la password dell'utente, quindi selezionare OK.

  3. In SAP Logon accedere al server e impostare i parametri di profilo seguenti usando la transazione RZ10:

    1. Impostare il parametro di profilo snc/identity/as su p:<utente servizio SAP BW creato>, Ad esempio, p:BWServiceUser@MYDOMAIN.COM. Si noti che p: precede il nome dell'entità utente del servizio (UPN), anziché p:CN=, che precede l'UPN quando si usa CommonCryptoLib come libreria SNC.

    2. Impostare il parametro di profilo snc/gssapi_lib su <percorso di gx64krb5.dll nel server BW>. Inserire la libreria in un percorso accessibile al server applicazioni SAP BW.

    3. Impostare gli ulteriori parametri di profilo seguenti, modificando i valori in base alle esigenze. Le ultime cinque opzioni consentono ai client di connettersi al server SAP BW usando SAP Logon senza aver configurato il nome SNC.

      Impostazione valore
      snc/data_protection/max 3
      snc/data_protection/min 1
      snc/data_protection/use 9
      snc/accept_insecure_cpic 1
      snc/accept_insecure_gui 1
      snc/accept_insecure_r3int_rfc 1
      snc/accept_insecure_rfc 1
      snc/permit_insecure_start 1

    4. Impostare la proprietà snc/enable su 1.

  4. Dopo aver impostato i parametri di profilo, aprire la console di gestione SAP nel computer server e riavviare l'istanza di SAP BW.

    Se il server non si avvia, verificare di aver impostato i parametri di profilo in modo corretto. Per altre informazioni sulle impostazioni dei parametri di profilo, vedere la documentazione di SAP. È anche possibile consultare la sezione Risoluzione dei problemi in questo articolo.

Eseguire il mapping di un utente SAP BW a un utente di Active Directory

Se non è già stato fatto, eseguire il mapping di un utente di AD a un utente di SAP BW Application Server e testare la connessione SSO in SAP Logon.

  1. Accedere al server SAP BW con SAP Logon. Eseguire la transazione SU01.

  2. Per Utente immettere l'utente SAP BW per cui si vuole abilitare la connessione SSO. Selezionare l'icona di modifica (icona a forma di penna) nella parte superiore sinistra della finestra di SAP Logon.

    Schermata Gestione degli utenti di SAP BW

  3. Selezionare la scheda SNC. Nella casella di input del nome SNC immettere p:<utente Active Directory>@<dominio>. Per il nome SNC, p: deve precedere l'UPN dell'utente di ACTIVE Directory. Si noti che l'UPN fa distinzione tra maiuscole e minuscole.

    L'utente di ACTIVE Directory specificato deve appartenere alla persona o all'organizzazione per cui si vuole abilitare l'accesso SSO al server applicazioni SAP BW. Ad esempio, se si vuole abilitare l'accesso SSO per l'utente testuser@TESTDOMAIN.COM, immettere p:testuser@TESTDOMAIN.COM.

    Schermata Gestire gli utenti di SAP BW

  4. Selezionare l'icona di salvataggio (immagine di un disco floppy) nella parte superiore sinistra della schermata.

Testare l'accesso tramite SSO

Verificare di poter accedere al server usando SAP Logon tramite SSO come utente di AD per cui è stato abilitato l'accesso SSO:

  1. Quando l'utente di AD per cui è stato appena abilitato l'accesso SSO, accedere a un computer nel dominio in cui è installato l'accesso SAP. Avviare SAP Logon e creare una nuova connessione.

  2. Copiare il file gsskrb5.dll scaricato in precedenza in un percorso nel computer a cui è stato eseguito l'accesso. Impostare la variabile di ambiente SNC_LIB sul percorso assoluto di questa posizione.

  3. Avviare l'accesso SAP e creare una nuova connessione.

  4. Nella schermata Crea nuova voce di sistema selezionare Sistema specificato dall'utente e quindi fare clic su Avanti.

    Schermata Crea nuova voce di sistema

  5. Specificare i dettagli appropriati nella schermata successiva, inclusi il server applicazioni, il numero di istanza e l'ID sistema, Quindi selezionare Fine.

  6. Fare clic con il pulsante destro del mouse sulla nuova connessione, scegliere Proprietà e quindi selezionare la scheda Rete.

  7. Nella casella Nome SNC immettere p:<UPN utente servizio SAP BW>, Ad esempio, p:BWServiceUser@MYDOMAIN.COM. Seleziona OK.

    Schermata Proprietà della voce di sistema

  8. Fare doppio clic sulla connessione creata per tentare una connessione SSO al server SAP BW.

    Se la connessione viene stabilita, continuare con la sezione successiva. In caso contrario, rivedere i passaggi precedenti di questo documento per assicurarsi che siano stati eseguiti correttamente o rivedere la sezione Risoluzione dei problemi. Se non è possibile connettersi al server SAP BW tramite SSO in questo contesto, non sarà possibile connettersi al server SAP BW usando SSO nel contesto del gateway.

Aggiungere voci del Registro di sistema nel computer gateway

Aggiungere le voci del Registro di sistema necessarie al Registro di sistema del computer in cui è installato il gateway e nei computer a cui ci si intende connettere da Power BI Desktop. Per aggiungere queste voci del Registro di sistema, eseguire i comandi seguenti:

  • REG ADD HKLM\SOFTWARE\Wow6432Node\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

  • REG ADD HKLM\SOFTWARE\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

Aggiungere una nuova origine dati del server applicazioni SAP BW al servizio Power BI oppure modificarne una esistente

  1. Nella finestra di configurazione dell'origine dati immettere Nome host, Numero sistema e ID client del server applicazioni SAP BW per accedere al server SAP BW da Power BI Desktop.

  2. Nel campo Nome del partner SNC immettere p:<nome SPN di cui è stato eseguito il mapping all'utente servizio SAP BW>. Ad esempio, se il nome SPN è SAP/BWServiceUser@MYDOMAIN.COM, immettere p:SAP/BWServiceUser@MYDOMAIN.COM nel campo Nome partner SNC.

  3. Per la libreria SNC selezionare l'opzione Personalizzata e specificare il percorso assoluto per GX64KRB5.DLL o GSSKRB5.DLL nel computer gateway.

  4. Selezionare Usa SSO tramite Kerberos per le query DirectQuery e quindi selezionare Applica. Se la connessione di test ha esito negativo, verificare di aver eseguito correttamente i passaggi di installazione e configurazione descritti in precedenza.

  5. Eseguire un report di Power BI.

Risoluzione dei problemi

Risolvere i problemi di configurazione di gx64krb5

Nel caso in cui si verifichi uno dei problemi riportati di seguito relativo all'installazione di gx64krb5 e alle connessioni SSO, seguire questa procedura per risolverlo:

  • Si verificano errori durante l'esecuzione dei passaggi di configurazione di gx64krb5. Ad esempio, il server SAP BW non si avvia dopo che i parametri di profilo sono stati modificati. Visualizzare i log del server (...work\dev_w0 nel computer server) per risolvere questi errori.

  • Non è possibile avviare il servizio SAP BW a causa di un errore di accesso. È possibile che sia stata specificata una password errata durante l'impostazione dell'utente di avvio SAP BW. Verificare la password accedendo come utente del servizio SAP BW in un computer nell'ambiente AD.

  • Vengono visualizzati errori relativi alle credenziali dell'origine dati sottostante (ad esempio SQL Server), che impediscono l'avvio del server. Verificare di aver concesso all'utente del servizio l'accesso al database SAP BW.

  • Viene visualizzato il messaggio seguente: (GSS-API) destinazione specificata sconosciuta o non raggiungibile. Questo errore in genere significa che è stato specificato un nome SNC errato. Assicurarsi di usare solo p:, non p:CN=, prima dell'UPN dell'utente del servizio nell'applicazione client.

  • Viene visualizzato il messaggio seguente: (GSS-API) È stato specificato un nome non valido. Assicurarsi di aver incluso p: nel valore del parametro di profilo dell'identità SNC del server.

  • Viene visualizzato il messaggio seguente: (Errore SNC) impossibile trovare il modulo specificato. Questo errore è spesso causato dall'inserimento di gx64krb5.dll in una posizione il cui accesso richiede privilegi elevati (../administrator rights).

Risolvere i problemi di connettività del gateway

  1. Controllare i registri del gateway. Aprire l'applicazione di configurazione del gateway e selezionare Diagnostica, quindi Esporta log. Gli errori più recenti sono indicati alla fine dei file di log.

    Applicazione Gateway dati locale, con la voce Diagnostica evidenziata

  2. Attivare la traccia SAP BW ed esaminare i file di log generati. Sono disponibili diversi tipi di traccia SAP BW (ad esempio, la traccia di CPIC):

    a. per abilitare la traccia di CPIC, impostare due variabili di ambiente: CPIC_TRACE e CPIC_TRACE_DIR.

    La prima variabile imposta il livello di traccia e la seconda variabile imposta la directory dei file di traccia. La directory deve essere un percorso in cui i membri del gruppo Authenticated Users possono scrivere.

    b. Impostare CPIC_TRACE su 3 e CPIC_TRACE_DIR sulla directory in cui si vuole che vengano scritti i file di traccia. Ad esempio:

    Traccia di CPIC

    c. Riprodurre il problema e assicurarsi che CPIC_TRACE_DIR contenga i file di traccia.

    d. Esaminare il contenuto dei file di traccia per determinare il problema del blocco. Ad esempio, è possibile che gx64krb5.dll non sia stato caricato correttamente o che un utente di Active Directory sia diverso da quello previsto per avviare il tentativo di connessione SSO.

Contenuto correlato

Per altre informazioni sul gateway dati locale e su DirectQuery, vedere le risorse seguenti: