この記事では、SAP ECC を登録する方法と、Microsoft Purview で SAP ECC を認証して操作する方法について説明します。 Microsoft Purview の詳細については、 入門記事を参照してください。
サポートされている機能
スキャン機能
メタデータ抽出 | フル スキャン | 増分スキャン | スコープスキャン |
---|---|---|---|
○ | はい | いいえ | 不要 |
SAP ECC ソースをスキャンする場合、Microsoft Purview では次の処理がサポートされます。
以下を含む技術的なメタデータの抽出:
- インスタンス
- アプリケーション コンポーネント
- パッケージ
- フィールド、外部キー、インデックス、インデックス メンバーを含むテーブル
- フィールドを含むビュー
- トランザクション
- プログラム
- クラス
- 関数グループ
- 関数モジュール
- ドメイン値を含むドメイン
- データ要素
テーブルとビュー間の資産リレーションシップに対する静的系列のフェッチ。
その他の機能
分類、秘密度ラベル、ポリシー、データ系列、ライブ ビューについては、サポートされている機能の一覧を参照してください。
既知の制限
オブジェクトがデータ ソースから削除された場合、現在、後続のスキャンでは、Microsoft Purview の対応する資産は自動的に削除されません。
前提条件
アクティブなサブスクリプションを持つ Azure アカウント。 無料でアカウントを作成します。
アクティブな Microsoft Purview アカウント。
ソースを登録し、Microsoft Purview ガバナンス ポータルで管理するには、データ ソース管理者とデータ 閲覧者のアクセス許可が必要です。 アクセス許可の詳細については、「 Microsoft Purview でのアクセス制御」を参照してください。
-
-
セルフホステッド統合ランタイムを使用するには:
- 記事に従って、セルフホステッド統合ランタイムを作成して構成します。
- セルフホステッド統合ランタイムがインストールされているマシンに JDK 11 がインストールされていることを確認します。 JDK を新しくインストールして有効にした後、マシンを再起動します。
- セルフホステッド統合ランタイムが実行されているコンピューターに、Visual C++ 再頒布可能パッケージ (バージョン Visual Studio 2012 Update 4 以降) がインストールされていることを確認します。 この更新プログラムがインストールされていない場合は、 今すぐダウンロードしてください。
- SAP の Web サイトから 64 ビット SAP Connector for Microsoft .NET 3.0 をダウンロードし、セルフホステッド統合ランタイム コンピューターにインストールします。 インストール中に、[オプションのセットアップ手順] ウィンドウで [アセンブリを GAC にインストールする] オプションを選択してください。
- コネクタは、 SAP Java Connector (JCo) 3.0 API を使用して SAP からメタデータを読み取ります。 セルフホステッド統合ランタイムがインストールされている仮想マシンで Java コネクタを使用できることを確認します。 環境に適した JCo ディストリビューションを使用していることを確認します。 たとえば、Microsoft Windows コンピューターで、sapjco3.jarファイルと sapjco3.dll ファイルが使用可能であることを確認します。 スキャンの設定に使用するフォルダー パスをメモします。
- セルフホステッド統合ランタイムは、ディスパッチャー ポート 32NN とゲートウェイ ポート 33NN を介して SAP サーバーと通信します。NN は 00 から 99 までの SAP インスタンス番号です。 ファイアウォールで送信トラフィックが許可されていることを確認します。
-
kubernetes でサポートされているセルフホステッド統合ランタイムを使用するには:
- 記事に従って、kubernetes でサポートされている統合ランタイムを作成して構成します。
- SAP の Web サイトから 64 ビット SAP Connector for Microsoft .NET 3.0 をダウンロードし、セルフホステッド統合ランタイム コンピューターにインストールします。 インストール中に、[オプションのセットアップ手順] ウィンドウで [アセンブリを GAC にインストールする] オプションを選択してください。
- コネクタは、 SAP Java Connector (JCo) 3.0 API を使用して SAP からメタデータを読み取ります。 セルフホステッド統合ランタイムがインストールされている仮想マシンで Java コネクタを使用できることを確認します。 環境に適した JCo ディストリビューションを使用していることを確認します。 たとえば、Microsoft Windows コンピューターで、sapjco3.jarファイルと sapjco3.dll ファイルが使用可能であることを確認します。 スキャンの設定に使用するフォルダー パスをメモします。
- セルフホステッド統合ランタイムは、ディスパッチャー ポート 32NN とゲートウェイ ポート 33NN を介して SAP サーバーと通信します。NN は 00 から 99 までの SAP インスタンス番号です。 ファイアウォールで送信トラフィックが許可されていることを確認します。
注:
SAP ECC のスキャンはメモリを集中的に使用する操作です。128 GB 以上の RAM を搭載したマシンにセルフホステッド Integration Runtimeをインストールすることをお勧めします。
-
セルフホステッド統合ランタイムを使用するには:
ABAP 関数のデプロイ ガイドに記載されている手順に従って、SAP サーバーにメタデータ抽出 ABAP 関数モジュールをデプロイします。 SAP サーバーで RFC 汎用モジュールを作成するには、ABAP 開発者アカウントが必要です。 スキャンを実行するには、ユーザー アカウントで SAP サーバーに接続し、次の RFC 関数モジュールを実行するための十分なアクセス許可が必要です。
- STFC_CONNECTION (チェック接続)
- RFC_SYSTEM_INFO (チェック システム情報)
- OCS_GET_INSTALLED_COMPS (チェック ソフトウェア バージョン)
- Z_MITI_DOWNLOAD (メタデータのインポートメイン、Purview ガイドに従って作成する関数モジュール)
基になる SAP Java Connector (JCo) ライブラリは、より多くの RFC 関数モジュールを呼び出す場合があります。たとえば、RFC_PING、RFC_METADATA_GETなどです。詳細については、「 SAP サポート ノート 460089 」を参照してください。
登録
このセクションでは、 Microsoft Purview ガバナンス ポータルを使用して Microsoft Purview に SAP ECC を登録する方法について説明します。
登録の認証
SAP ECC ソースでサポートされている認証は、 基本認証のみです。
登録手順
次の方法で Microsoft Purview ガバナンス ポータルを開きます。
- https://web.purview.azure.comに直接移動し、Microsoft Purview アカウントを選択します。
- Azure portalを開き、Microsoft Purview アカウントを検索して選択します。 [Microsoft Purview ガバナンス ポータル] ボタンを選択します。
左側のナビゲーションで [ データ マップ ] を選択します。
[ 登録] を選択します
[ソースの登録] で、[ SAP ECC] を選択します。 [ 続行] を選択します。
[ ソースの登録 (SAP ECC)] 画面で、次の操作を行います。
カタログ内にデータ ソースが一覧表示される 名前 を入力します。
SAP ECC ソースに接続する アプリケーション サーバー 名を入力します。 また、SAP アプリケーション サーバー ホストの IP アドレスを指定することもできます。
SAP システム番号を入力します。 これは、00 から 99 までの 2 桁の整数です。
一覧からコレクションを選択します。
完了してデータ ソースを登録します。
スキャン
SAP ECC をスキャンして資産を自動的に識別するには、次の手順に従います。 スキャン全般の詳細については、スキャン とインジェストの概要に関するページを参照してください。
スキャンの作成と実行
管理センターで、[統合ランタイム] を選択します。 セルフホステッド統合ランタイムが設定されていることを確認します。 セットアップされていない場合は、「 前提条件」で 説明されている手順を使用して、セルフホステッド統合ランタイムを作成します。
[ソース] に移動します
登録済みの SAP ECC ソースを選択します。
[+ 新しいスキャン] を選択します
以下の詳細を指定します。
名前: スキャンの名前
統合ランタイム経由で接続する: 構成済みのセルフホステッド統合ランタイムを選択します。
資格情報: データ ソースに接続する資格情報を選択します。 次のことを確認してください。
- 資格情報の作成時に [基本認証] を選択します。
- [ユーザー名] 入力フィールドに SAP サーバーに接続するユーザー ID を指定します。
- SAP サーバーへの接続に使用するユーザー パスワードを秘密キーに格納します。
クライアント ID: SAP クライアント ID を入力します。 これは、000 から 999 までの 3 桁の数値です。
SNC モード (省略可能): 証明書ベースの認証メカニズムを使用して SAP RFC への技術的な接続をセキュリティで保護するために Secure Network Communications (SNC) モードを使用 する場合は 、トグルをオンにします。 SNC モードは既定では オフ になっています。
SNC 証明書を使用して SAP Personal Secure Environment を設定するには、次の手順に従います。
SAPCAR を取得する
- SAP ソフトウェア ダウンロード センターに移動し、SAP 資格情報でサインインします。
- SAPCAR を検索し、最新の非アーカイブ バージョンを選択します。
- オペレーティング システムを選択します。
-
.EXE file to C:\sap\SAR
をダウンロードします。
SAP Common Crypto Library を取得する
- SAP ソフトウェア ダウンロード センターで、"COMMONCRYPTOLIB" を検索し、最新バージョンを選択します。
- オペレーティング システムを選択します。
- をダウンロードします。最新のリリース日を
C:\sap\SAR
する SAR ファイル。
SAP Common Crypto Library の抽出
- PowerShell を開き、[
C:\sap\SAR
] に移動します。 - xxxx を値に置き換えて、次のコマンドを入力します:
.\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib
。 -
sapgenpse.exe
がC:\sap\libs\sapcryptolib
ディレクトリにあることを確認します。
証明書の生成
注: この方法はデモンストレーションのみを目的としており、運用システムには推奨されません。 運用システムの場合は、内部 PKI ガイダンスまたはセキュリティ チームに問い合わせてください。
フォルダー構造を設定します。
mkdir rootCA
mkdir sncCert
必要なシリアル ファイルとインデックス ファイルが存在しない場合は、作成します。
if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" ItemType File }
if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }
ルート CA を生成します。
openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"
SNC 証明書を生成する
openssl genrsa -out sncCert/snc.key.pem 2048
openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem subj "/O=Contoso/CN=SNC"
署名用の OpenSSL 構成ファイル (
sncCert/extensions.cnf
) を作成します。subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
basicConstraints = critical,CA:false
keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
extendedKeyUsage = clientAuth,emailProtection
ルート CA を使用して SNC 証明書に署名します。
openssl x509 -req in sncCert/snc.csr.pem CA rootCA/ca.cert.pem CAkey rootCA/ca.key.pem CAcreateserial out sncCert/snc.cert.pem days 3650 sha256 extfile sncCert\extensions.cnf extensions v3_leaf
個人用セキュリティで保護された環境を作成する
オンプレミス データ ゲートウェイ用の個人用セキュリティで保護された環境 (PSE) を作成します。 NCo ライブラリは、PSE 内の SNC 証明書を検索します。
PKCS#12 コンテナーを作成します。
openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem
SECUDIR 環境変数を作成します。
[システム プロパティ] を開く: エクスプローラーで[この PC] を右クリックし、[プロパティ]、[詳細設定>[システム設定] の順に選択します。
[環境変数] を選択します。
[ システム変数] で、[新規] を選択 します。
変数名を SECUDIR に設定します。
値を
C:\sapsecudir
に設定します。[OK] を選択します。
PKCS#12 コンテナーを PSE にインポートします。
C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki certs\snc.p12
SHIR プロセスで SAP PSE の使用を許可する
SNC クライアントが SAP と通信する証明書を取得するために使用しているユーザーまたはサービスを確認します。 Microsoft Purview SHIR は、サービス ユーザー NT SERVICE\DIAHostService を使用します。
- PSE からの証明書取得要求を許可する資格情報を追加します。
.\sapgenpse.exe seclogin -p C:\sapsecudir\SAPSNCSKERB.pse -x your-pse-pin -O "NT SERVICE\DIAHostService"
- 次のような資格情報を確認します。
.\sapgenpse.exe seclogin -l -O "NT SERVICE\DIAHostService"
- 次のように削除できます。
.\sapgenpse.exe seclogin -d -O "NT SERVICE\DIAHostService"
- -h パラメーターを使用して、sapgenpse コマンド ライン ツールに関するヘルプを表示するか、ここでコマンド リファレンスをチェックします。
SAP JCo ライブラリに SHIR プロセスにアクセスするためのアクセス許可を付与する
Microsoft Purview SHIR ユーザー NT SERVICE\DIAHostService に、これらのフォルダーに対する 読み取り/書き込み/実行/一覧表示 のアクセス許可があるかどうかを確認します。
SNC ライブラリ パス: SNC ライブラリがあるフォルダー
sapcrypto.dll
。 例:C:\Users\shir-admin\Desktop\snc\SAPCRYPTOLIBP_8557-20011729\sapcrypto.dll
JCo ライブラリ パス: SAP Java Connector jar ファイルを含むフォルダー。 例:
C:\Users\shir-admin\Desktop\snc\sapjco3-ntamd64-3.1\sapjco3-ntamd64-3.1.3
また、NCo ライブラリを引き続き使用するため、テスト接続を正常に動作させるために、SAP NCo ライブラリを仮想マシンにインストールする必要があります。 これは必要ありません。テスト接続はスキップできます。
以下に示すように、 自分の名前、 パートナー名、 ライブラリ パス、保護 品質の SCN の詳細を入力し、スキャンを開始します。
JCo ライブラリ パス: JCo ライブラリが配置されているディレクトリ パスを指定します (例:
D:\Drivers\SAPJCo
)。 セルフホステッド統合ランタイムがパスにアクセスできることを確認します。前提条件 に関するセクションの詳細を参照してください。- ローカル コンピューター上のセルフホステッド統合ランタイムの場合:
D:\Drivers\SAPJCo
。 これは、有効な JAR フォルダーの場所へのパスです。 値は有効な絶対ファイル パスである必要があり、スペースは含まれません。 セルフホステッド統合ランタイムがドライバーにアクセスできることを確認します。 詳細については、「前提条件」セクションを参照してください。 - Kubernetes でサポートされるセルフホステッド統合ランタイムの場合:
./drivers/SAPJCo
。 これは、有効な JAR フォルダーの場所へのパスです。 値は、有効な相対ファイル パスである必要があります。 事前にドライバーをアップロードするための 外部ドライバーを使用してスキャンを設定 するには、ドキュメントを参照してください。
- ローカル コンピューター上のセルフホステッド統合ランタイムの場合:
使用可能な最大メモリ:セルフホステッド Integration Runtime マシンで使用できる最大メモリ (GB 単位)。 これは、スキャンする SAP ECC ソースのサイズによって異なります。 使用可能な大きなメモリ (100 など) を提供することをお勧めします。
[続行] を選択します。
スキャン トリガーを選択します。 スケジュールを設定することも、スキャンを 1 回実行することもできます。
スキャンを確認し、[ 保存して実行] を選択します。
スキャンとスキャンの実行を表示する
既存のスキャンを表示するには:
- Microsoft Purview ポータルに移動します。 左側のウィンドウで、[ データ マップ] を選択します。
- データ ソースを選択します。 [最近のスキャン] で、そのデータ ソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。
- 表示する結果を含むスキャンを選択します。 このウィンドウには、以前のすべてのスキャン実行と、各スキャン実行の状態とメトリックが表示されます。
- 実行 ID を選択して、スキャン実行の詳細をチェックします。
スキャンを管理する
スキャンを編集、取り消し、または削除するには:
Microsoft Purview ポータルに移動します。 左側のウィンドウで、[ データ マップ] を選択します。
データ ソースを選択します。 [最近のスキャン] で、そのデータ ソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。
管理するスキャンを選択します。 次のことを実行できます。
- [スキャンの編集] を選択して スキャンを編集します。
- [スキャンの実行の取り消し] を選択して、進行中 のスキャンを取り消します。
- [スキャンの削除] を選択して スキャンを削除します。
注:
- スキャンを削除しても、以前のスキャンから作成されたカタログ資産は削除されません。
系統
SAP ECC ソースをスキャンした後、統合カタログを参照するか、統合カタログを検索して資産の詳細を表示できます。
[資産 - > 系列] タブに移動すると、該当する場合に資産関係を確認できます。 サポートされている SAP ECC 系列シナリオのサポート されている機能 に関するセクションを参照してください。 系列全般の詳細については、「データ系列と系列ユーザー ガイド」を参照してください。
次の手順
ソースを登録したので、次のガイドに従って、Microsoft Purview とデータの詳細を確認してください。