Microsoft Purview で SAP ECC に接続して管理する

2025-06-26

この記事では、SAP ECC を登録する方法と、Microsoft Purview で SAP ECC を認証して操作する方法について説明します。 Microsoft Purview の詳細については、入門記事を参照してください。

サポートされている機能

スキャン機能

メタデータ抽出	フルスキャン	増分スキャン	スコープスキャン
○	はい	いいえ	不要

SAP ECC ソースをスキャンする場合、Microsoft Purview では次の処理がサポートされます。

以下を含む技術的なメタデータの抽出:
- インスタンス
- アプリケーションコンポーネント
- パッケージ
- フィールド、外部キー、インデックス、インデックスメンバーを含むテーブル
- フィールドを含むビュー
- トランザクション
- プログラム
- クラス
- 関数グループ
- 関数モジュール
- ドメイン値を含むドメイン
- データ要素
テーブルとビュー間の資産リレーションシップに対する静的系列のフェッチ。

その他の機能

分類、秘密度ラベル、ポリシー、データ系列、ライブビューについては、サポートされている機能の一覧を参照してください。

既知の制限

オブジェクトがデータソースから削除された場合、現在、後続のスキャンでは、Microsoft Purview の対応する資産は自動的に削除されません。

前提条件

アクティブなサブスクリプションを持つ Azure アカウント。無料でアカウントを作成します。
アクティブな Microsoft Purview アカウント。
ソースを登録し、Microsoft Purview ガバナンスポータルで管理するには、データソース管理者とデータ閲覧者のアクセス許可が必要です。アクセス許可の詳細については、「 Microsoft Purview でのアクセス制御」を参照してください。
シナリオに適した統合ランタイムを設定します。
- セルフホステッド統合ランタイムを使用するには:
  - 記事に従って、セルフホステッド統合ランタイムを作成して構成します。
  - セルフホステッド統合ランタイムがインストールされているマシンに JDK 11 がインストールされていることを確認します。 JDK を新しくインストールして有効にした後、マシンを再起動します。
  - セルフホステッド統合ランタイムが実行されているコンピューターに、Visual C++ 再頒布可能パッケージ (バージョン Visual Studio 2012 Update 4 以降) がインストールされていることを確認します。この更新プログラムがインストールされていない場合は、今すぐダウンロードしてください。
  - SAP の Web サイトから 64 ビット SAP Connector for Microsoft .NET 3.0 をダウンロードし、セルフホステッド統合ランタイムコンピューターにインストールします。インストール中に、[オプションのセットアップ手順] ウィンドウで [アセンブリを GAC にインストールする] オプションを選択してください。
  - コネクタは、 SAP Java Connector (JCo) 3.0 API を使用して SAP からメタデータを読み取ります。セルフホステッド統合ランタイムがインストールされている仮想マシンで Java コネクタを使用できることを確認します。環境に適した JCo ディストリビューションを使用していることを確認します。たとえば、Microsoft Windows コンピューターで、sapjco3.jarファイルと sapjco3.dll ファイルが使用可能であることを確認します。スキャンの設定に使用するフォルダーパスをメモします。
  - セルフホステッド統合ランタイムは、ディスパッチャーポート 32NN とゲートウェイポート 33NN を介して SAP サーバーと通信します。NN は 00 から 99 までの SAP インスタンス番号です。ファイアウォールで送信トラフィックが許可されていることを確認します。
- kubernetes でサポートされているセルフホステッド統合ランタイムを使用するには:
  - 記事に従って、kubernetes でサポートされている統合ランタイムを作成して構成します。
  - SAP の Web サイトから 64 ビット SAP Connector for Microsoft .NET 3.0 をダウンロードし、セルフホステッド統合ランタイムコンピューターにインストールします。インストール中に、[オプションのセットアップ手順] ウィンドウで [アセンブリを GAC にインストールする] オプションを選択してください。
  - コネクタは、 SAP Java Connector (JCo) 3.0 API を使用して SAP からメタデータを読み取ります。セルフホステッド統合ランタイムがインストールされている仮想マシンで Java コネクタを使用できることを確認します。環境に適した JCo ディストリビューションを使用していることを確認します。たとえば、Microsoft Windows コンピューターで、sapjco3.jarファイルと sapjco3.dll ファイルが使用可能であることを確認します。スキャンの設定に使用するフォルダーパスをメモします。
  - セルフホステッド統合ランタイムは、ディスパッチャーポート 32NN とゲートウェイポート 33NN を介して SAP サーバーと通信します。NN は 00 から 99 までの SAP インスタンス番号です。ファイアウォールで送信トラフィックが許可されていることを確認します。
注:

SAP ECC のスキャンはメモリを集中的に使用する操作です。128 GB 以上の RAM を搭載したマシンにセルフホステッド Integration Runtimeをインストールすることをお勧めします。
ABAP 関数のデプロイガイドに記載されている手順に従って、SAP サーバーにメタデータ抽出 ABAP 関数モジュールをデプロイします。 SAP サーバーで RFC 汎用モジュールを作成するには、ABAP 開発者アカウントが必要です。スキャンを実行するには、ユーザーアカウントで SAP サーバーに接続し、次の RFC 関数モジュールを実行するための十分なアクセス許可が必要です。
- STFC_CONNECTION (チェック接続)
- RFC_SYSTEM_INFO (チェックシステム情報)
- OCS_GET_INSTALLED_COMPS (チェックソフトウェアバージョン)
- Z_MITI_DOWNLOAD (メタデータのインポートメイン、Purview ガイドに従って作成する関数モジュール)
基になる SAP Java Connector (JCo) ライブラリは、より多くの RFC 関数モジュールを呼び出す場合があります。たとえば、RFC_PING、RFC_METADATA_GETなどです。詳細については、「 SAP サポートノート 460089 」を参照してください。

登録

このセクションでは、 Microsoft Purview ガバナンスポータルを使用して Microsoft Purview に SAP ECC を登録する方法について説明します。

登録の認証

SAP ECC ソースでサポートされている認証は、 基本認証のみです。

登録手順

次の方法で Microsoft Purview ガバナンスポータルを開きます。
- https://web.purview.azure.comに直接移動し、Microsoft Purview アカウントを選択します。
- Azure portalを開き、Microsoft Purview アカウントを検索して選択します。 [Microsoft Purview ガバナンスポータル] ボタンを選択します。
左側のナビゲーションで [ データマップ ] を選択します。
[ 登録] を選択します
[ソースの登録] で、[ SAP ECC] を選択します。 [ 続行] を選択します。

[ ソースの登録 (SAP ECC)] 画面で、次の操作を行います。

カタログ内にデータソースが一覧表示される名前を入力します。
SAP ECC ソースに接続する アプリケーションサーバー 名を入力します。また、SAP アプリケーションサーバーホストの IP アドレスを指定することもできます。
SAP システム番号を入力します。これは、00 から 99 までの 2 桁の整数です。
一覧からコレクションを選択します。
完了してデータソースを登録します。

スキャン

SAP ECC をスキャンして資産を自動的に識別するには、次の手順に従います。スキャン全般の詳細については、スキャンとインジェストの概要に関するページを参照してください。

スキャンの作成と実行

管理センターで、[統合ランタイム] を選択します。セルフホステッド統合ランタイムが設定されていることを確認します。セットアップされていない場合は、「前提条件」で説明されている手順を使用して、セルフホステッド統合ランタイムを作成します。
[ソース] に移動します
登録済みの SAP ECC ソースを選択します。
[+ 新しいスキャン] を選択します
以下の詳細を指定します。
1. 名前: スキャンの名前
2. 統合ランタイム経由で接続する: 構成済みのセルフホステッド統合ランタイムを選択します。
3. 資格情報: データソースに接続する資格情報を選択します。次のことを確認してください。
  - 資格情報の作成時に [基本認証] を選択します。
  - [ユーザー名] 入力フィールドに SAP サーバーに接続するユーザー ID を指定します。
  - SAP サーバーへの接続に使用するユーザーパスワードを秘密キーに格納します。
4. クライアント ID: SAP クライアント ID を入力します。これは、000 から 999 までの 3 桁の数値です。
5. SNC モード (省略可能): 証明書ベースの認証メカニズムを使用して SAP RFC への技術的な接続をセキュリティで保護するために Secure Network Communications (SNC) モードを使用 する場合は 、トグルをオンにします。 SNC モードは既定ではオフになっています。
  
  SNC 証明書を使用して SAP Personal Secure Environment を設定するには、次の手順に従います。
  
  SAPCAR を取得する
  - SAP ソフトウェアダウンロードセンターに移動し、SAP 資格情報でサインインします。
  - SAPCAR を検索し、最新の非アーカイブバージョンを選択します。
  - オペレーティングシステムを選択します。
  - .EXE file to C:\sap\SARをダウンロードします。
  SAP Common Crypto Library を取得する
  - SAP ソフトウェアダウンロードセンターで、"COMMONCRYPTOLIB" を検索し、最新バージョンを選択します。
  - オペレーティングシステムを選択します。
  - をダウンロードします。最新のリリース日を C:\sap\SARする SAR ファイル。
  SAP Common Crypto Library の抽出
  - PowerShell を開き、[ C:\sap\SAR] に移動します。
  - xxxx を値に置き換えて、次のコマンドを入力します: .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib。
  - sapgenpse.exeが C:\sap\libs\sapcryptolib ディレクトリにあることを確認します。
  証明書の生成
  
  注: この方法はデモンストレーションのみを目的としており、運用システムには推奨されません。運用システムの場合は、内部 PKI ガイダンスまたはセキュリティチームに問い合わせてください。
  - フォルダー構造を設定します。
    - mkdir rootCA
    - mkdir sncCert
  - 必要なシリアルファイルとインデックスファイルが存在しない場合は、作成します。
    - if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" ItemType File }
    - if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }
  - ルート CA を生成します。
    - openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
    - openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"
  - SNC 証明書を生成する
    - openssl genrsa -out sncCert/snc.key.pem 2048
    - openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem subj "/O=Contoso/CN=SNC"
  - 署名用の OpenSSL 構成ファイル ( sncCert/extensions.cnf) を作成します。
    - subjectKeyIdentifier = hash
    - authorityKeyIdentifier = keyid,issuer
    - basicConstraints = critical,CA:false
    - keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
    - extendedKeyUsage = clientAuth,emailProtection
  - ルート CA を使用して SNC 証明書に署名します。
    - openssl x509 -req in sncCert/snc.csr.pem CA rootCA/ca.cert.pem CAkey rootCA/ca.key.pem CAcreateserial out sncCert/snc.cert.pem days 3650 sha256 extfile sncCert\extensions.cnf extensions v3_leaf
  個人用セキュリティで保護された環境を作成する
  
  オンプレミスデータゲートウェイ用の個人用セキュリティで保護された環境 (PSE) を作成します。 NCo ライブラリは、PSE 内の SNC 証明書を検索します。
  - PKCS#12 コンテナーを作成します。
    - openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem
  - SECUDIR 環境変数を作成します。
  - [システムプロパティ] を開く: エクスプローラーで[この PC] を右クリックし、[プロパティ]、[詳細設定>[システム設定] の順に選択します。
  - [環境変数] を選択します。
  - [ システム変数] で、[新規] を選択 します。
  - 変数名を SECUDIR に設定します。
  - 値を C:\sapsecudir に設定します。
  - [OK] を選択します。
  PKCS#12 コンテナーを PSE にインポートします。 C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki certs\snc.p12
  
  SHIR プロセスで SAP PSE の使用を許可する
  
  SNC クライアントが SAP と通信する証明書を取得するために使用しているユーザーまたはサービスを確認します。 Microsoft Purview SHIR は、サービスユーザー NT SERVICE\DIAHostService を使用します。
  - PSE からの証明書取得要求を許可する資格情報を追加します。 .\sapgenpse.exe seclogin -p C:\sapsecudir\SAPSNCSKERB.pse -x your-pse-pin -O "NT SERVICE\DIAHostService"
  - 次のような資格情報を確認します。 .\sapgenpse.exe seclogin -l -O "NT SERVICE\DIAHostService"
  - 次のように削除できます。 .\sapgenpse.exe seclogin -d -O "NT SERVICE\DIAHostService"
  - -h パラメーターを使用して、sapgenpse コマンドラインツールに関するヘルプを表示するか、ここでコマンドリファレンスをチェックします。
  SAP JCo ライブラリに SHIR プロセスにアクセスするためのアクセス許可を付与する
  
  Microsoft Purview SHIR ユーザー NT SERVICE\DIAHostService に、これらのフォルダーに対する 読み取り/書き込み/実行/一覧表示 のアクセス許可があるかどうかを確認します。
  - SNC ライブラリパス: SNC ライブラリがあるフォルダー sapcrypto.dll。例: C:\Users\shir-admin\Desktop\snc\SAPCRYPTOLIBP_8557-20011729\sapcrypto.dll
  - JCo ライブラリパス: SAP Java Connector jar ファイルを含むフォルダー。例: C:\Users\shir-admin\Desktop\snc\sapjco3-ntamd64-3.1\sapjco3-ntamd64-3.1.3
  また、NCo ライブラリを引き続き使用するため、テスト接続を正常に動作させるために、SAP NCo ライブラリを仮想マシンにインストールする必要があります。これは必要ありません。テスト接続はスキップできます。
  
  以下に示すように、 自分の名前、 パートナー名、 ライブラリパス、保護 品質の SCN の詳細を入力し、スキャンを開始します。
6. JCo ライブラリパス: JCo ライブラリが配置されているディレクトリパスを指定します (例: D:\Drivers\SAPJCo)。セルフホステッド統合ランタイムがパスにアクセスできることを確認します。前提条件に関するセクションの詳細を参照してください。
  1. ローカルコンピューター上のセルフホステッド統合ランタイムの場合: D:\Drivers\SAPJCo。これは、有効な JAR フォルダーの場所へのパスです。値は有効な絶対ファイルパスである必要があり、スペースは含まれません。セルフホステッド統合ランタイムがドライバーにアクセスできることを確認します。詳細については、「前提条件」セクションを参照してください。
  2. Kubernetes でサポートされるセルフホステッド統合ランタイムの場合: ./drivers/SAPJCo。これは、有効な JAR フォルダーの場所へのパスです。値は、有効な相対ファイルパスである必要があります。事前にドライバーをアップロードするための外部ドライバーを使用してスキャンを設定するには、ドキュメントを参照してください。
7. 使用可能な最大メモリ:セルフホステッド Integration Runtime マシンで使用できる最大メモリ (GB 単位)。これは、スキャンする SAP ECC ソースのサイズによって異なります。使用可能な大きなメモリ (100 など) を提供することをお勧めします。
[続行] を選択します。
スキャントリガーを選択します。スケジュールを設定することも、スキャンを 1 回実行することもできます。
スキャンを確認し、[ 保存して実行] を選択します。

スキャンとスキャンの実行を表示する

既存のスキャンを表示するには:

Microsoft Purview ポータルに移動します。左側のウィンドウで、[ データマップ] を選択します。
データソースを選択します。 [最近のスキャン] で、そのデータソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。
表示する結果を含むスキャンを選択します。このウィンドウには、以前のすべてのスキャン実行と、各スキャン実行の状態とメトリックが表示されます。
実行 ID を選択して、スキャン実行の詳細をチェックします。

スキャンを管理する

スキャンを編集、取り消し、または削除するには:

Microsoft Purview ポータルに移動します。左側のウィンドウで、[ データマップ] を選択します。
データソースを選択します。 [最近のスキャン] で、そのデータソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。
管理するスキャンを選択します。次のことを実行できます。
- [スキャンの編集] を選択して スキャンを編集します。
- [スキャンの実行の取り消し] を選択して、進行中 のスキャンを取り消します。
- [スキャンの削除] を選択して スキャンを削除します。

注:

スキャンを削除しても、以前のスキャンから作成されたカタログ資産は削除されません。

系統

SAP ECC ソースをスキャンした後、統合カタログを参照するか、統合カタログを検索して資産の詳細を表示できます。

[資産 - > 系列] タブに移動すると、該当する場合に資産関係を確認できます。サポートされている SAP ECC 系列シナリオのサポートされている機能に関するセクションを参照してください。系列全般の詳細については、「データ系列と系列ユーザーガイド」を参照してください。

SAP ECC 系列ビュー

次の手順

ソースを登録したので、次のガイドに従って、Microsoft Purview とデータの詳細を確認してください。